前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級(jí)保護(hù)解決方案主題范文,僅供參考,歡迎閱讀并收藏。
1.1安全風(fēng)險(xiǎn)評(píng)估應(yīng)用模型三階段。
在電子政務(wù)系統(tǒng)設(shè)的實(shí)施過(guò)程,主要分為規(guī)劃與設(shè)計(jì)階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段等三個(gè)階段。其中,安全風(fēng)險(xiǎn)分析主要作用于規(guī)劃與設(shè)計(jì)階段,安全等級(jí)評(píng)估主要作用于建設(shè)與施工階段,安全檢查評(píng)估主要作用于運(yùn)行與管理階段。安全風(fēng)險(xiǎn)分析,主要是利用風(fēng)險(xiǎn)評(píng)估工具對(duì)系統(tǒng)的安全問(wèn)題進(jìn)行分析。對(duì)于信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)的確定,以及其風(fēng)險(xiǎn)的優(yōu)先控制順序,可以通過(guò)根據(jù)電子政務(wù)系統(tǒng)的需求,采用定性和定量的方法,制定相關(guān)的安全保障方案。安全等級(jí)評(píng)估,主要由自評(píng)估和他評(píng)估兩種評(píng)估方式構(gòu)成。被評(píng)估電子政務(wù)系統(tǒng)的擁有者,通過(guò)結(jié)合其自身的力量和相關(guān)的等級(jí)保護(hù)標(biāo)準(zhǔn),進(jìn)行安全等級(jí)評(píng)估的方式,稱為自評(píng)估。而他評(píng)估則是指通過(guò)第三方權(quán)威專業(yè)評(píng)估機(jī)構(gòu),依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評(píng)估。通過(guò)定期或隨機(jī)的安全等級(jí)評(píng)估,掌握系統(tǒng)動(dòng)態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動(dòng)向,能夠及時(shí)預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患,提高系統(tǒng)的防御能力,并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革,則需要重新對(duì)系統(tǒng)進(jìn)行安全等級(jí)評(píng)估工作。安全檢查評(píng)估,主要是在對(duì)漏洞掃描、模擬攻擊,以及對(duì)安全隱患的檢查等方面,對(duì)電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè),并給予解決問(wèn)題的安全防范措施。
1.2安全風(fēng)險(xiǎn)分析的應(yīng)用模型。
在政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作中,主要是借助安全風(fēng)險(xiǎn)評(píng)測(cè)工具和第三方權(quán)威機(jī)構(gòu),對(duì)安全風(fēng)險(xiǎn)分析、安全等級(jí)評(píng)估和安全檢查評(píng)估等三方面進(jìn)行評(píng)估工作。在此,本文重點(diǎn)要講述的是安全風(fēng)險(xiǎn)分析的應(yīng)用模型。在安全風(fēng)險(xiǎn)分析的應(yīng)用模型中,著重需要考慮到的是其主要因素、基本流程和專家評(píng)判法。
(1)主要因素。
在資產(chǎn)上,政府的信息資源不但具有經(jīng)濟(jì)價(jià)值,還擁有者重要的政治因素。因此,要從關(guān)鍵和敏感度出發(fā),確定信息資產(chǎn)。在不足上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng),存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來(lái)自內(nèi)、外部的威脅。在影響上,可能致使信息資源泄露,嚴(yán)重時(shí)造成重大的資源損失。
(2)基本流程。
根據(jù)安全需求,確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)等級(jí)和目標(biāo)。根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求,實(shí)行區(qū)域和安全邊界的劃分。識(shí)別并估價(jià)安全區(qū)域內(nèi)的信息資產(chǎn)。識(shí)別與評(píng)價(jià)安全區(qū)域內(nèi)的環(huán)境對(duì)資產(chǎn)的威脅。識(shí)別與分析安全區(qū)域內(nèi)的威脅所對(duì)應(yīng)的資產(chǎn)或組織存在的薄弱點(diǎn)。建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估方法和安全風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則,并確定其大小與等級(jí)。結(jié)合相關(guān)的系統(tǒng)安全需求和等級(jí)保護(hù),以及費(fèi)用應(yīng)當(dāng)與風(fēng)險(xiǎn)相平衡的原則,對(duì)風(fēng)險(xiǎn)控制方法加以探究,從而制定出有效的安全風(fēng)險(xiǎn)控制措施和解決方案。
(3)專家評(píng)判法。
在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中,由于缺少相關(guān)的數(shù)據(jù)和資料,因此,可以通過(guò)專家評(píng)判的方法,為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個(gè)大概的參考數(shù)值和結(jié)果,作為決策前期的基礎(chǔ)。在安全區(qū)域內(nèi),根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層),應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域,建立起風(fēng)險(xiǎn)值計(jì)算模型。通過(guò)列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點(diǎn),分析其可能為資產(chǎn)所帶來(lái)的影響,以及這些薄弱點(diǎn)對(duì)系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小,進(jìn)而通過(guò)安全風(fēng)險(xiǎn)評(píng)估專家進(jìn)行評(píng)判,得到系統(tǒng)的風(fēng)險(xiǎn)值及排序。在不同的安全層次中,每個(gè)薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計(jì)算方法,能夠幫助計(jì)算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險(xiǎn)值。
2結(jié)語(yǔ)
總的來(lái)講,我們目前對(duì)信息系統(tǒng)的安全保障工作處在初級(jí)階段,主要表現(xiàn)在信息系統(tǒng)安全建設(shè)和管理的目標(biāo)不明確,信息安全保障工作的重點(diǎn)不突出,信息安全監(jiān)管體系尚待完善。為了實(shí)施信息系統(tǒng)的安全保護(hù),我國(guó)制定頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)和《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB/T18336-2001)等基本標(biāo)準(zhǔn),隨后又制定了一系列相關(guān)的國(guó)家標(biāo)準(zhǔn),對(duì)信息等級(jí)保護(hù)工作的定級(jí)、建設(shè)、測(cè)評(píng)、安全管理等進(jìn)行規(guī)范。信息安全等級(jí)保護(hù)制度一個(gè)很重要的思想就是對(duì)各領(lǐng)域的重要信息系統(tǒng)依照其對(duì)國(guó)家的重要程度進(jìn)行分類分級(jí),針對(duì)不同的安全等級(jí)采取不同的保護(hù)措施,以此來(lái)指導(dǎo)不同領(lǐng)域的信息安全工作[1]。99年頒布的《等級(jí)劃分準(zhǔn)則》對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分了五個(gè)等級(jí)[2],保護(hù)能力隨著安全保護(hù)等級(jí)的增高,逐漸增強(qiáng)。第一級(jí)為用戶自主保護(hù)級(jí)。使用戶具備自主安全保護(hù)的能力。第二級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)。在繼承前面安全級(jí)別安全功能的基礎(chǔ)上,需要?jiǎng)?chuàng)建和維護(hù)訪問(wèn)的審計(jì)跟蹤記錄。第三級(jí)為安全標(biāo)記保護(hù)級(jí)。在繼承前面安全級(jí)別安全功能的基礎(chǔ)上,要求依據(jù)訪問(wèn)安全級(jí)別限制訪問(wèn)權(quán)限。第四級(jí)為結(jié)構(gòu)化保護(hù)級(jí)。繼承前面安全級(jí)別安全功能的基礎(chǔ)上,劃分安全保護(hù)機(jī)制為兩部分,關(guān)鍵部分和非關(guān)鍵部分,對(duì)關(guān)鍵部分訪問(wèn)者直接控制訪問(wèn)對(duì)象的存取。第五級(jí)為訪問(wèn)驗(yàn)證保護(hù)級(jí)。按要求增設(shè)訪問(wèn)驗(yàn)證的功能,負(fù)責(zé)訪問(wèn)者對(duì)所有訪問(wèn)對(duì)象的訪問(wèn)活動(dòng)進(jìn)行仲裁。
2.企業(yè)信息安全等級(jí)保護(hù)的實(shí)施流程
在實(shí)施企業(yè)信息安全等級(jí)保護(hù)流程時(shí),主要得工作可以分為信息系統(tǒng)定級(jí)、規(guī)劃與設(shè)計(jì)和實(shí)施、等級(jí)評(píng)估與改進(jìn)三個(gè)主要的階段。
2.1信息系統(tǒng)定級(jí)
系統(tǒng)定級(jí)是根據(jù)整個(gè)系統(tǒng)要求達(dá)到的防護(hù)水平,確定信息系統(tǒng)和各個(gè)子系統(tǒng)的安全防護(hù)等級(jí)。需要由專業(yè)人員評(píng)估企業(yè)的信息系統(tǒng)、各種軟硬件設(shè)備及企業(yè)業(yè)務(wù)支撐的各個(gè)環(huán)節(jié),根據(jù)其重要性和復(fù)雜性劃分為各個(gè)子系統(tǒng),描述子系統(tǒng)的組成和邊界,以此確定總系統(tǒng)和子系統(tǒng)的安全等級(jí)。2.2安全規(guī)劃和設(shè)計(jì)安全規(guī)劃和設(shè)計(jì)是根據(jù)系統(tǒng)定級(jí)的結(jié)果,對(duì)信息系統(tǒng)及其子系統(tǒng)制定全套的安全防護(hù)解決方案,并根據(jù)方案選取相應(yīng)的軟、硬件防護(hù)產(chǎn)品進(jìn)行具體實(shí)施的階段,這個(gè)階段的工作主要可以歸納為以下三個(gè)方面的內(nèi)容:
2.2.1系統(tǒng)對(duì)象的分類劃分及相應(yīng)保護(hù)框架的確立。
企業(yè)需要對(duì)信息系統(tǒng)進(jìn)行保護(hù)對(duì)象進(jìn)行分類和劃分,建立起一個(gè)企業(yè)信息系統(tǒng)保護(hù)的框架,根據(jù)系統(tǒng)功能的差異和安全要求不同對(duì)系統(tǒng)進(jìn)行分域、分級(jí)防護(hù)。
2.2.2選擇安全措施并根據(jù)需要進(jìn)行調(diào)整。
在確定了企業(yè)信息系統(tǒng)及各個(gè)子系統(tǒng)的安全等級(jí)以后,根據(jù)需要選擇相應(yīng)的等級(jí)安全要求。根據(jù)對(duì)系統(tǒng)評(píng)估的結(jié)果,確定出主系統(tǒng)、子系統(tǒng)和各保護(hù)對(duì)象的安全措施,并根據(jù)項(xiàng)目實(shí)施過(guò)程中的需要進(jìn)行適當(dāng)?shù)恼{(diào)整。
2.2.3安全措施規(guī)劃和安全方案實(shí)施。
確定需要的安全措施以后,定制相應(yīng)安全解決方案和運(yùn)維管理方案,以此為依據(jù)采購(gòu)必要的安全保護(hù)軟、硬件及安全服務(wù)。
2.3實(shí)施、等級(jí)評(píng)估和改進(jìn)[4]
依照此前確定的安全措施和解決方案,在企業(yè)中進(jìn)行方案實(shí)施。實(shí)施完畢之后,對(duì)照“信息安全等級(jí)保護(hù)”相關(guān)標(biāo)準(zhǔn),評(píng)估所部署的方案是否達(dá)到了預(yù)想的防護(hù)要求,如果評(píng)估未能通過(guò),則需對(duì)部分安全方案進(jìn)行改進(jìn)后再進(jìn)行評(píng)估,直至符合等級(jí)保護(hù)要求。
3.企業(yè)信息安全等級(jí)保護(hù)體系的主要內(nèi)容
3.1安全體系設(shè)計(jì)的原則及設(shè)計(jì)目標(biāo)
信息系統(tǒng)安全體系的設(shè)計(jì)需要按照合規(guī)可行、全局均衡、體系化和動(dòng)態(tài)發(fā)展原則,達(dá)到并實(shí)現(xiàn)“政策合規(guī)、資源可控、數(shù)據(jù)可信、持續(xù)發(fā)展”的生存管理與安全運(yùn)維目的。系統(tǒng)安全等級(jí)保護(hù)體系的技術(shù)指標(biāo),可以分為信息技術(shù)測(cè)評(píng)指標(biāo)和非信息技術(shù)測(cè)評(píng)指標(biāo)兩類。所以整個(gè)安全等級(jí)保護(hù)體系應(yīng)包含基本技術(shù)措施和基本管理措施兩個(gè)組成部分。
3.2基本技術(shù)措施
3.2.1物理安全
物理安全是信息系統(tǒng)安全的基礎(chǔ),物理安全主要內(nèi)容包括環(huán)境安全(防火、防水、防雷擊等)、設(shè)備和介質(zhì)的防盜竊、防破壞等方面。
3.2.2網(wǎng)絡(luò)安全
網(wǎng)絡(luò)是若干網(wǎng)絡(luò)設(shè)備組成的可用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)環(huán)境,是信息系統(tǒng)安全運(yùn)行的基礎(chǔ)設(shè)施。對(duì)于內(nèi)網(wǎng)未通過(guò)準(zhǔn)許聯(lián)到外網(wǎng)的行為,可以使用終端安全管理系統(tǒng)來(lái)檢測(cè)。對(duì)登錄網(wǎng)絡(luò)設(shè)備和服務(wù)器的用戶進(jìn)行基本的身份識(shí)別,使網(wǎng)絡(luò)最基本具備基本的防護(hù)能力。[5]
3.2.3主機(jī)安全
主機(jī)安全主要是指服務(wù)器和終端系統(tǒng)層面的安全風(fēng)險(xiǎn)。主機(jī)的安全風(fēng)險(xiǎn)主要包括兩個(gè)方面:一是操作系統(tǒng)的脆弱性,二是來(lái)自系統(tǒng)配置管理和使用過(guò)程??梢酝ㄟ^(guò)建立一套完善安全審計(jì)系統(tǒng)實(shí)現(xiàn)系統(tǒng)層、網(wǎng)絡(luò)層以及應(yīng)用層的安全審計(jì)。
3.2.4應(yīng)用系統(tǒng)安全
應(yīng)用系統(tǒng)是提供給用戶真正可使用的功能,是以物理層、網(wǎng)絡(luò)層和主機(jī)層為基礎(chǔ)的,是用戶與系統(tǒng)底層的接口。應(yīng)用安全首先要考慮身份驗(yàn)證、通訊加密、信息保護(hù)和抗抵賴性等安全風(fēng)險(xiǎn),對(duì)應(yīng)用系統(tǒng)方面應(yīng)關(guān)注系統(tǒng)資源控制、應(yīng)用代碼安全、系統(tǒng)安全審計(jì)和系統(tǒng)容錯(cuò)等內(nèi)容,一般需要通過(guò)安全審計(jì)系統(tǒng)和專業(yè)的安全服務(wù)來(lái)實(shí)現(xiàn)。
3.2.5數(shù)據(jù)安全
數(shù)據(jù)是指用戶真正的數(shù)據(jù),信息系統(tǒng)數(shù)據(jù)安全所面臨的主要風(fēng)險(xiǎn)包括:數(shù)據(jù)遭到盜竊;數(shù)據(jù)被惡意刪除或篡改。在考慮數(shù)據(jù)安全方案時(shí),除了使用從物理層到應(yīng)用層的各種層次的安全產(chǎn)品,更重要的是考慮對(duì)數(shù)據(jù)的實(shí)時(shí)備份。目前主要使用數(shù)據(jù)庫(kù)技術(shù)來(lái)保證數(shù)據(jù)私密性和完整性,制定好數(shù)據(jù)存儲(chǔ)與備份方案,來(lái)完成日常的數(shù)據(jù)備份與恢復(fù)。這部分工作可以考慮引入專業(yè)安全服務(wù)。
3.3基本管理措施
3.3.1安全管理制度
安全管理制度的制定、、審核和修訂等工作,需要在信息安全領(lǐng)導(dǎo)小組的統(tǒng)籌下,按照安全工作的總體方案,根據(jù)系統(tǒng)應(yīng)用安全的實(shí)際情況,組織相關(guān)人員進(jìn)行,并進(jìn)行定期的審核和修訂。
3.3.2安全管理機(jī)構(gòu)
要根據(jù)要求建立專門的安全職能部門,配置專門的安全管理人員,并對(duì)安全管理人員進(jìn)行日?;顒?dòng)的監(jiān)督指導(dǎo)。同時(shí)要對(duì)安全職能部門進(jìn)行全面的設(shè)計(jì),內(nèi)容包括的人員和崗位的配置、日常工作流程、與其他部門的溝通和合作、系統(tǒng)安全的審核和檢查等方面。
3.3.3人員安全管理
人員的入職、離職、績(jī)效考核、業(yè)務(wù)培訓(xùn)等環(huán)節(jié)都要考慮安全因素。對(duì)第三方人員管理上也要考慮安全風(fēng)險(xiǎn)。
3.3.4系統(tǒng)建設(shè)過(guò)程管理
要在系統(tǒng)建設(shè)的各個(gè)階段貫徹系統(tǒng)安全等級(jí)保護(hù)體系的思想和內(nèi)容。主要是對(duì)系統(tǒng)建設(shè)從方案設(shè)計(jì)、采購(gòu)、開(kāi)發(fā)、實(shí)施、測(cè)試驗(yàn)收、交付到系統(tǒng)備案、安全測(cè)評(píng)等環(huán)節(jié)進(jìn)行全流程的監(jiān)控,對(duì)所有涉及安全保護(hù)的方面提出具體要求。
3.3.5系統(tǒng)運(yùn)行和維護(hù)管理
信息系統(tǒng)運(yùn)維安全管理涉包括日常管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等幾方面內(nèi)容,可以是內(nèi)部人員管理維護(hù),也可以根據(jù)需要采用內(nèi)部人員和專業(yè)安全廠商相結(jié)合的方式。
4.總結(jié)
關(guān)鍵詞:微機(jī)監(jiān)測(cè);鐵路信號(hào);設(shè)備安全
Abstract: with the rapid development of railway transportation, all parts of the country a new high-speed rail railway. Speed is improved, the safety problem can not be ignored. To ensure the safety of train operation process, signal information requires the railway throughout the correct. Console through signal equipment will be operating instructions to train, so as to ensure the overall operation of the railway. In this paper, network security protection of railway signal computer detection system to conduct a comprehensive analysis.
Keywords: railway signal microcomputer monitoring; equipment safety;
中圖分類號(hào):F530.3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
1 微機(jī)監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀
目前的微機(jī)監(jiān)測(cè)系統(tǒng)一般都是三層次的網(wǎng)絡(luò)結(jié)構(gòu),既由車站、領(lǐng)工區(qū)(車間)、電務(wù)段三級(jí)構(gòu)成的計(jì)算機(jī)網(wǎng)絡(luò),電務(wù)段和領(lǐng)工區(qū)的管理人員可以通過(guò)微機(jī)監(jiān)測(cè)網(wǎng)直接看到所轄各站信號(hào)設(shè)備和戰(zhàn)場(chǎng)運(yùn)作狀況。目前網(wǎng)絡(luò)遭受病毒侵襲的主要途徑有:生產(chǎn)已經(jīng)網(wǎng)絡(luò)化,網(wǎng)絡(luò)上任何一點(diǎn)感染病毒后,如不及時(shí)處理,容易全網(wǎng)蔓延;隨著移動(dòng)存儲(chǔ)設(shè)備越來(lái)越廣泛的使用,病毒通過(guò)移動(dòng)設(shè)備感染的機(jī)率大大增加。一機(jī)多用,如某臺(tái)終端機(jī)既用于調(diào)看生產(chǎn)監(jiān)控,又兼作辦公機(jī);其他遭受惡意攻擊等非正常感染病毒。
現(xiàn)階段微機(jī)監(jiān)測(cè)系統(tǒng)采取的網(wǎng)絡(luò)安全防護(hù)措施包括以下幾個(gè)方面。
1)要求把站機(jī)、終端機(jī)上的I/0接口,如光驅(qū)、歟驅(qū)、USB插口等用標(biāo)簽加封,并在主板BIOS里修改相應(yīng)項(xiàng)屏蔽設(shè)備端口,杜絕在站機(jī)、終端機(jī)上進(jìn)行與業(yè)務(wù)無(wú)關(guān)的作業(yè)。
2)微機(jī)檢測(cè)安全服務(wù)器,站機(jī)、終端機(jī),安裝有MCAFEE網(wǎng)絡(luò)版防毒軟件或瑞星單機(jī)版殺毒軟件,但沒(méi)有建立專用的防病毒服務(wù)器,病毒庫(kù)的更新不及時(shí),單機(jī)版的軟件只有維護(hù)人員到站上才能更新。
3)清理非法接入局域網(wǎng)的計(jì)算機(jī),查清有無(wú)一機(jī)多用甚至多網(wǎng)的可能,并對(duì)非法接人的計(jì)算機(jī)進(jìn)行屏蔽。
2 現(xiàn)有系統(tǒng)存在的安全問(wèn)題及改進(jìn)的主要參考原則
設(shè)計(jì)新的網(wǎng)絡(luò)安全防護(hù)系統(tǒng),應(yīng)確保運(yùn)行數(shù)據(jù)的完整性、可用性、可控性、可審查性。安全系統(tǒng)的改進(jìn)可參考以下幾個(gè)原則。
1)體系化設(shè)計(jì)原則。通過(guò)分析網(wǎng)絡(luò)系統(tǒng)的層次關(guān)系.提出科學(xué)的安全體系和安全構(gòu)架,從中分析出存在的各種安全風(fēng)險(xiǎn),充分利用現(xiàn)有投資,并合理運(yùn)用當(dāng)今主流的安全防護(hù)技術(shù)和手段,最大限度地解決網(wǎng)絡(luò)中可能存在的安全問(wèn)題。
2)全局性、均衡性、綜合性設(shè)計(jì)原則。從網(wǎng)絡(luò)整體建設(shè)角度出發(fā),提供一個(gè)具有相當(dāng)高度,可擴(kuò)展性強(qiáng)的安全防護(hù)解決方案,應(yīng)均衡考慮各種安全措施的效果,提供具有最優(yōu)性價(jià)比的網(wǎng)絡(luò)安全防護(hù)解決方案。
3)可行性、可靠性、可審查性原則。可行性是設(shè)計(jì)網(wǎng)絡(luò)安全防護(hù)方案的根本,它將直接影響到網(wǎng)絡(luò)通信平臺(tái)的暢通,可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺(tái)正常運(yùn)行的保證,可審查性是對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段。
4)分步實(shí)施原則。分級(jí)管理,分步實(shí)施。
3 系統(tǒng)改進(jìn)可采取的的主要措施
維護(hù)管理方面我們可以做好以下幾點(diǎn)改進(jìn)。
1)微機(jī)監(jiān)測(cè)增設(shè)防病毒服務(wù)器,定期升級(jí)服務(wù)器病毒庫(kù),將病毒入侵機(jī)率降至最低。安裝防火墻,對(duì)連接網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行統(tǒng)一管理,確保網(wǎng)絡(luò)安全。
2)科學(xué)處理補(bǔ)丁和病毒之間的矛盾。安裝補(bǔ)丁時(shí),應(yīng)經(jīng)過(guò)慎重的論證測(cè)試,可行在開(kāi)發(fā)系統(tǒng)上進(jìn)行測(cè)試,確保安全的前提下,再進(jìn)行補(bǔ)丁安裝,因?yàn)橛行┭a(bǔ)丁可能與現(xiàn)行的操作系統(tǒng)發(fā)生沖突,進(jìn)而影響整個(gè)系統(tǒng)的穩(wěn)定性。
3)在生產(chǎn)網(wǎng)上組建VPN,創(chuàng)建一個(gè)安全的私有鏈接。
同時(shí),為保證系統(tǒng)的安全管理 ,避免人為的安全威脅,應(yīng)根據(jù)運(yùn)行工作的重要程度劃分系統(tǒng)的安全等級(jí),根據(jù)確定的安全等級(jí)確定該系統(tǒng)的管理范圍和安全措施。對(duì)機(jī)房實(shí)行安全分區(qū)控制,根據(jù)工作人員權(quán)限限定其工作區(qū)域。機(jī)房的出入管理可以采取先進(jìn)的證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng),采用磁卡,身份證等手段對(duì)工作人員進(jìn)行識(shí)別、登記、管理。根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則,確定工作系統(tǒng)人員的操作范圍和管理,制定嚴(yán)格的操作規(guī)程。針對(duì)工作調(diào)動(dòng)或離職人員要及時(shí)調(diào)整相應(yīng)授權(quán)。
4 可采用的網(wǎng)絡(luò)安全新技術(shù)
建立完善的微機(jī)監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng),需要現(xiàn)有網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的基礎(chǔ)上,充分考慮防火墻、入侵檢測(cè)/防護(hù)、漏洞掃描、防病毒系統(tǒng)等安全機(jī)制。由于網(wǎng)絡(luò)技術(shù)的不斷飛速發(fā)展,傳統(tǒng)的防護(hù)技術(shù)已經(jīng)不能適應(yīng)復(fù)雜多變的新型網(wǎng)絡(luò)環(huán)境,必須采用安全有效的網(wǎng)絡(luò)安全新技術(shù)才能防患于未然,提高整個(gè)微機(jī)監(jiān)測(cè)網(wǎng)絡(luò)的安全性??刹捎玫男滦途W(wǎng)絡(luò)安全技術(shù)包括以下幾種。
1)鏈路負(fù)載均衡技術(shù)。鏈路負(fù)載均衡技術(shù)是建立在多鏈路網(wǎng)絡(luò)結(jié)構(gòu)上的一種網(wǎng)絡(luò)流量管理技術(shù)。它針對(duì)不同鏈路的網(wǎng)絡(luò)流量,通信質(zhì)量以及訪問(wèn)路徑的長(zhǎng)短等諸多因素,對(duì)訪問(wèn)產(chǎn)生的徑路流量所使用的鏈路進(jìn)行調(diào)度和選擇??勺畲笙薅鹊臄U(kuò)展和利用鏈路的帶寬,當(dāng)某一鏈路發(fā)生故障中斷時(shí),可以自動(dòng)將其訪問(wèn)流量分配給其它尚在工作的鏈路,避免IPS鏈路上的單點(diǎn)故障。
2)IPS入侵防御系統(tǒng)。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品,提供主動(dòng)的,實(shí)時(shí)的防護(hù),其設(shè)計(jì)目的旨在準(zhǔn)確檢測(cè)網(wǎng)絡(luò)異常流量,自動(dòng)應(yīng)對(duì)各類攻擊性的流量,不將攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。
3)上網(wǎng)行為管理系統(tǒng)。上網(wǎng)行為管理系統(tǒng)能夠提供全面的互聯(lián)網(wǎng)控制管理,并能實(shí)現(xiàn)基于用戶和各種網(wǎng)絡(luò)協(xié)議的帶寬控制管理。實(shí)時(shí)監(jiān)控整個(gè)網(wǎng)絡(luò)使用情況。
4)網(wǎng)絡(luò)帶寬管理系統(tǒng)。對(duì)整個(gè)網(wǎng)絡(luò)狀況進(jìn)行細(xì)致管理,提高網(wǎng)絡(luò)使用效率,實(shí)現(xiàn)對(duì)關(guān)鍵人員使用網(wǎng)絡(luò)的保障,對(duì)關(guān)鍵應(yīng)用性能的保護(hù),對(duì)非關(guān)鍵應(yīng)用性能的控制。可根據(jù)業(yè)務(wù)需求和應(yīng)用自身需求進(jìn)行帶寬分配。
5)防毒墻。傳統(tǒng)的計(jì)算機(jī)病毒防范是在需要保護(hù)的計(jì)算機(jī)內(nèi)部建立反病毒系統(tǒng),隨著網(wǎng)絡(luò)病毒的日益嚴(yán)重和各種網(wǎng)絡(luò)威脅的侵害,需要將病毒在通過(guò)服務(wù)器后企業(yè)內(nèi)部網(wǎng)關(guān)之前予以過(guò)濾,防毒墻就滿足了這一需求。防毒墻是集成了強(qiáng)大的網(wǎng)絡(luò)殺毒機(jī)制,網(wǎng)絡(luò)層狀態(tài)包過(guò)濾,敏感信息的加密傳輸,和詳盡靈活的日志審計(jì)等多種安全技術(shù)于一身的硬件平臺(tái)。在毀滅性病毒和蠕蟲(chóng)病毒進(jìn)入網(wǎng)絡(luò)前進(jìn)行全面掃描,適用于各種復(fù)雜的網(wǎng)絡(luò)拓?fù)洵h(huán)境。
5 結(jié)束語(yǔ)
通過(guò)本文的分析,可以看出,我國(guó)鐵路信號(hào)微機(jī)監(jiān)測(cè)系統(tǒng)的應(yīng)用得到了初步的效果,但是隨著我國(guó)鐵路系統(tǒng)的繼續(xù)發(fā)展,網(wǎng)絡(luò)安全是我們不得不考慮的問(wèn)題,而且隨著網(wǎng)絡(luò)安全問(wèn)題的越來(lái)越多,對(duì)我國(guó)鐵路信號(hào)微機(jī)監(jiān)測(cè)系統(tǒng)的安全性要求就越高,因此,在未來(lái)的發(fā)展過(guò)程中,我們需要進(jìn)一步提升鐵路信號(hào)微機(jī)監(jiān)測(cè)系統(tǒng)的安全等級(jí),只有這樣才能促進(jìn)我國(guó)鐵路信號(hào)系統(tǒng)的安全,提升我國(guó)鐵路信號(hào)系統(tǒng)的繼續(xù)發(fā)展。
參考文獻(xiàn)
[1]劉琦.鐵路信號(hào)安全維護(hù)及監(jiān)控系統(tǒng)設(shè)計(jì)思路及應(yīng)用[J].安防科技,2011,03.
(中國(guó)電子科技集團(tuán)公司第二十研究所,陜西 西安 710068)
【摘 要】隨著信息化水平的不斷提高,各單位對(duì)其依賴程度前所未有的加大,然而隨著各種攻擊技術(shù)的發(fā)展,沒(méi)有防御的系統(tǒng)則顯得不堪一擊。針對(duì)此,每個(gè)單位信息系統(tǒng)的安全運(yùn)行都相應(yīng)的加大了信息安全的關(guān)注與投入。鑒于此,研究不同等級(jí)的信息系統(tǒng)所需的安全措施就變得很有意義。主要說(shuō)明了信息系統(tǒng)的不同等級(jí)及其安全防護(hù)水平。
關(guān)鍵詞 信息化;風(fēng)險(xiǎn);等級(jí)保護(hù);安全
1 信息化發(fā)展背景
1.1 全球背景
信息化是充分利用信息技術(shù),開(kāi)發(fā)利用信息資源,促進(jìn)信息交流和知識(shí)共享,提高經(jīng)濟(jì)增長(zhǎng)質(zhì)量,推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展轉(zhuǎn)型的歷史進(jìn)程。隨著信息技術(shù)發(fā)展,信息化對(duì)經(jīng)濟(jì)社會(huì)發(fā)展的影響更加深刻。信息資源日益成為重要生產(chǎn)要素、無(wú)形資產(chǎn)和社會(huì)財(cái)富。與此同時(shí),信息安全的重要性也與日俱增,成為各國(guó)面臨的共同挑戰(zhàn)。
1.2 我國(guó)目標(biāo)
我國(guó)信息化發(fā)展戰(zhàn)略概括為:以信息化促進(jìn)工業(yè)化,以工業(yè)化帶動(dòng)信息化,走出中國(guó)特色的信息化道路。信息化是當(dāng)今世界發(fā)展的大趨勢(shì),是推動(dòng)經(jīng)濟(jì)社會(huì)變革的重要力量。到2020年,我國(guó)信息化發(fā)展的戰(zhàn)略目標(biāo)是:綜合信息基礎(chǔ)設(shè)施基本普及,信息技術(shù)自主創(chuàng)新能力顯著增強(qiáng),信息產(chǎn)業(yè)結(jié)構(gòu)全面優(yōu)化,國(guó)家信息安全保障水平大幅提高,國(guó)民經(jīng)濟(jì)和社會(huì)信息化取得明顯成效,新型工業(yè)化發(fā)展模式初步確立,國(guó)家信息化發(fā)展的制度環(huán)境和政策體系基本完善,國(guó)民信息技術(shù)應(yīng)用能力顯著提高,為邁向信息社會(huì)奠定堅(jiān)實(shí)基礎(chǔ)。
2 等級(jí)保護(hù)標(biāo)準(zhǔn)及其具體范圍
信息安全等級(jí)保護(hù)是指對(duì)國(guó)家安全、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。
2.1 美國(guó)可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)
美國(guó)可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)(Trusted Computer System Evaluation Criteria,TCSEC),該標(biāo)準(zhǔn)是世界范圍內(nèi)計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn),具有劃時(shí)代的意義。該準(zhǔn)則于1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出,并于1985年12月由美國(guó)國(guó)防部公布。TCSEC最初只是軍用標(biāo)準(zhǔn),后來(lái)延至民用領(lǐng)域。TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、7個(gè)級(jí)別。
D類安全等級(jí):D類安全等級(jí)只包括D1一個(gè)級(jí)別。D1的安全等級(jí)最低。
C類安全等級(jí):該類安全等級(jí)能夠提供審計(jì)的保護(hù),并為用戶的行動(dòng)和責(zé)任提供審計(jì)能力。C類安全等級(jí)可劃分為C1和C2兩類。
B類安全等級(jí):B類安全等級(jí)可分為B1、B2和B3三類。B類系統(tǒng)具有強(qiáng)制性保護(hù)功能。
A類安全等級(jí):A系統(tǒng)的安全級(jí)別最高。目前,A類安全等級(jí)只包含A1一個(gè)安全類別。A1系統(tǒng)的顯著特征是,系統(tǒng)的設(shè)計(jì)者必須按照一個(gè)正式的設(shè)計(jì)規(guī)范來(lái)分析系統(tǒng)。
2.2 歐洲的安全評(píng)價(jià)標(biāo)準(zhǔn)
歐洲的安全評(píng)價(jià)標(biāo)準(zhǔn)ITSEC(Information Technology Security Evaluation Criteria)是英國(guó)、法國(guó)、德國(guó)和荷蘭制定的IT安全評(píng)估準(zhǔn)則,是歐洲多國(guó)安全評(píng)價(jià)方法的綜合產(chǎn)物,應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政府和商業(yè)。該標(biāo)準(zhǔn)將安全概念分為功能與評(píng)估兩部分。功能準(zhǔn)則從F1~F10共分10級(jí)。1~5級(jí)對(duì)應(yīng)于TCSEC的D到A。F6至F10級(jí)分別對(duì)應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機(jī)密性和完整性的網(wǎng)絡(luò)安全。
與TCSEC不同,它并不把保密措施直接與計(jì)算機(jī)功能相聯(lián)系,而是只敘述技術(shù)安全的要求,把保密作為安全增強(qiáng)功能。另外,TCSEC把保密作為安全的重點(diǎn),而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(jí)(不滿足品質(zhì))到E6級(jí)(形式化驗(yàn)證)的7個(gè)安全等級(jí),對(duì)于每個(gè)系統(tǒng),安全功能可分別定義。
2.3 我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則
我國(guó)根據(jù)世界范圍內(nèi)信息安全及計(jì)算機(jī)系統(tǒng)安全評(píng)估等技術(shù)的發(fā)展,并結(jié)合我國(guó)自身情況,制定并頒發(fā)了我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999),在該準(zhǔn)則中將信息系統(tǒng)分為下面五個(gè)等級(jí):
第一級(jí):用戶自主保護(hù)級(jí);
第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí);
第三級(jí):安全標(biāo)記保護(hù)級(jí);
第四級(jí):結(jié)構(gòu)化保護(hù)級(jí);
第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)。
3 風(fēng)險(xiǎn)分析和安全保護(hù)措施
3.1 漏洞、威脅、風(fēng)險(xiǎn)
在實(shí)際中,計(jì)算機(jī)信息系統(tǒng)在確定保護(hù)等級(jí)之前,首先要對(duì)該計(jì)算機(jī)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)是構(gòu)成安全基礎(chǔ)的基本觀念,風(fēng)險(xiǎn)是丟失需要保護(hù)的資產(chǎn)的可能性。如果沒(méi)有風(fēng)險(xiǎn)就不需要安全。威脅是可能破壞信息系統(tǒng)環(huán)境安全的行動(dòng)或事件。漏洞是各種攻擊可能的途徑。風(fēng)險(xiǎn)是威脅和漏洞的綜合結(jié)果。沒(méi)有漏洞的威脅沒(méi)有風(fēng)險(xiǎn),沒(méi)有威脅的漏洞也沒(méi)有風(fēng)險(xiǎn)。識(shí)別風(fēng)險(xiǎn)除了識(shí)別漏洞和威脅之外,還應(yīng)考慮已有的策略和預(yù)防措施。識(shí)別漏洞應(yīng)尋找系統(tǒng)和信息的所有入口及分析如何通過(guò)這些入口訪問(wèn)系統(tǒng)和信息。識(shí)別威脅是對(duì)目標(biāo)、動(dòng)機(jī)及事件的識(shí)別。一旦對(duì)漏洞、威脅以及預(yù)防措施進(jìn)行了識(shí)別,就可確定該計(jì)算機(jī)信息系統(tǒng)的風(fēng)險(xiǎn)。綜合這些信息,開(kāi)發(fā)相應(yīng)的風(fēng)險(xiǎn)管理項(xiàng)目。風(fēng)險(xiǎn)永遠(yuǎn)不可能完全去除,風(fēng)險(xiǎn)必須管理。
風(fēng)險(xiǎn)分析是對(duì)需要保護(hù)的資產(chǎn)及其受到的潛在的安全威脅的鑒別過(guò)程。風(fēng)險(xiǎn)是威脅和漏洞的組合。正確的風(fēng)險(xiǎn)分析是保證計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境及其信息安全及其重要的一步。風(fēng)險(xiǎn)分析始于對(duì)需要保護(hù)的資產(chǎn)(物理資源、知識(shí)資源、時(shí)間資源、信譽(yù)資源等)的鑒別以及對(duì)資產(chǎn)威脅的潛在攻擊源的分析。采用等級(jí)保護(hù)策略可以有效的降低各種資產(chǎn)受危害的潛在代價(jià)以及由于采取安全措施付出的操作代價(jià)。一個(gè)性能良好的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺(tái),可以以低的安全代價(jià)換取高的安全強(qiáng)度。
3.2 一種保護(hù)重要秘密安全的方法
在具體實(shí)施過(guò)程中,根據(jù)計(jì)算機(jī)信息系統(tǒng)不同的安全等級(jí)要求,制定不同的等級(jí)保護(hù)策略,用最小的代價(jià)來(lái)保證計(jì)算機(jī)信息系統(tǒng)安全。在一些重要情況下,為了確保安全與萬(wàn)無(wú)一失,都必須由兩人或多人同時(shí)參與才能生效,這時(shí)就需要將秘密分給多人掌管,并且必須有一定數(shù)目的掌管秘密的相關(guān)人員同時(shí)到場(chǎng)才能恢復(fù)這一秘密。針對(duì)這種特別重大和及其敏感的信息可采用秘密分割門限方案來(lái)確保安全。
設(shè)秘密m被分成n個(gè)部分的信息,每一部分信息稱為一個(gè)子密鑰,由一個(gè)參與者持有,使得:
①由k(k<n)個(gè)或多于k個(gè)參與者所持有的部分信息可重構(gòu)該消息m;
②由少于k個(gè)參與者所持有的部分信息無(wú)法重構(gòu)消息m;
稱這種方案為(k,n)秘密分割門限方案,k稱為方案的門限值。
如果一個(gè)參與者或一組未經(jīng)授權(quán)的參與者在猜測(cè)秘密m時(shí),并不比局外人猜測(cè)該秘密m時(shí)有優(yōu)勢(shì)。
③由少于k個(gè)參與者所持有的部分信息得不到秘密m的任何信息。
則稱這個(gè)方案是完整的,即(k,n)秘密分割門限方案是完整的。
其中最具代表性和廣泛應(yīng)用的門限方案是基于中國(guó)剩余定理的門限方案。
通過(guò)這種秘密分割的方法就能達(dá)到秘密多人共享,多人共同掌管的局面,確保該信息安全。這種方案也可以用于特別的(下轉(zhuǎn)第73頁(yè))(上接第78頁(yè))重要部位和場(chǎng)所的出入控制等方面。
3.3 具體措施
針對(duì)企業(yè)信息系統(tǒng),應(yīng)當(dāng)健全針對(duì)各單位或業(yè)務(wù)部門在日常工作中產(chǎn)生和接觸的信息的敏感程度不同,區(qū)分等級(jí),分門別類,堅(jiān)持積極防御、綜合防范,探索和把握信息化與信息安全的內(nèi)在規(guī)律,主動(dòng)應(yīng)對(duì)信息安全挑戰(zhàn),力爭(zhēng)做到辦公方便與安全保密同時(shí)兼顧,實(shí)現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展,保證企業(yè)信息安全。
加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作。建設(shè)和完善信息安全監(jiān)控體系,提高對(duì)網(wǎng)絡(luò)安全事件應(yīng)對(duì)和防范能力,防止有害信息傳播。高度重視信息安全應(yīng)急處置工作,健全完善信息安全應(yīng)急指揮和安全通報(bào)制度,不斷完善信息安全應(yīng)急處置預(yù)案。從實(shí)際出發(fā),促進(jìn)資源共享,重視災(zāi)難備份建設(shè),增強(qiáng)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的抗毀能力和災(zāi)難恢復(fù)能力。
4 結(jié)束語(yǔ)
隨著信息安全事件的頻繁曝光,信息安全越來(lái)越受到人們的重視。為此,越來(lái)越多的工作人員投身到安全領(lǐng)域的研究之中。然而當(dāng)今的現(xiàn)狀卻是各種各樣的不安全事件層出不窮,各類攻擊及其變種也在不斷發(fā)展。所有的這些就要求我們必須更加努力地投入到工作中去。不僅要針對(duì)一些已經(jīng)出現(xiàn)且危害較大的一些安全問(wèn)題提出相應(yīng)的解決方案,還應(yīng)該站在安全領(lǐng)域的前沿,積極地投身去防御各種可能會(huì)引發(fā)安全問(wèn)題的漏洞及脆弱點(diǎn)。只有這樣我們才能更好地保障人們放心的使用信息技術(shù)的發(fā)展帶來(lái)的便捷。
參考文獻(xiàn)
[1]胡道元,閔京華.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2007.
[2]baike.baidu.com/view/488431.htm.TCSEC全稱與安全等級(jí)分類[OL].
[3]baike.baidu.com/view/488448.htm.ITSEC[OL].
[4]楊波.現(xiàn)代秘密學(xué)[M].2版.清華大學(xué)出版社,2007.
[5]baike.baidu.com/view/21730.htm#sub5031999.CC國(guó)際通用標(biāo)準(zhǔn)[OL].
論文摘要:互聯(lián)網(wǎng)技術(shù)給我們帶來(lái)很大的方便,同時(shí)也帶來(lái)了許多的網(wǎng)絡(luò)安全隱患,諸如陷門、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn),如何在計(jì)算機(jī)網(wǎng)絡(luò)這個(gè)大環(huán)境之下,確保其安全運(yùn)行,完善安全防護(hù)策略,已經(jīng)成為了相關(guān)工作人員最亟待解決的問(wèn)題之一。該文首先分析了計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作中的安全問(wèn)題,其次,從多個(gè)方面就如何有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)進(jìn)行了深入的探討,具有一定的參考價(jià)值。
1概述
互聯(lián)網(wǎng)技術(shù)給我們帶來(lái)很大的方便,同時(shí)也帶來(lái)了許多的網(wǎng)絡(luò)安全隱患,諸如陷門、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。為了確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全,特別是計(jì)算機(jī)數(shù)據(jù)安全,目前已經(jīng)采用了諸如服務(wù)器、通道控制機(jī)制、防火墻技術(shù)、入侵檢測(cè)之類的技術(shù)來(lái)防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理,即便如此,仍然存在著很多的問(wèn)題,嚴(yán)重危害了社會(huì)安全。計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn),如何在計(jì)算機(jī)網(wǎng)絡(luò)這個(gè)大環(huán)境之下,確保其安全運(yùn)行,完善安全防護(hù)策略,已經(jīng)成為了相關(guān)工作人員最亟待解決的問(wèn)題之一。
2計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作中的安全問(wèn)題分析
計(jì)算機(jī)網(wǎng)絡(luò)的共享性、開(kāi)放性的特性給互聯(lián)網(wǎng)用戶帶來(lái)了較為便捷的信息服務(wù),但是也使得計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)了一些安全問(wèn)題。在開(kāi)展計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作時(shí),應(yīng)該將管理工作的重點(diǎn)放在網(wǎng)絡(luò)信息的和訪問(wèn)方面,確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)免受干擾和非法攻擊。
2.1安全指標(biāo)分析
(1)保密性
通過(guò)加密技術(shù),能夠使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自動(dòng)篩選掉那些沒(méi)有經(jīng)過(guò)授權(quán)的終端操作用戶的訪問(wèn)請(qǐng)求,只能夠允許那些已經(jīng)授權(quán)的用戶來(lái)利用和訪問(wèn)計(jì)算機(jī)網(wǎng)絡(luò)信息數(shù)據(jù)。
(2)授權(quán)性
用戶授權(quán)的大小與其能夠在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中能夠利用和訪問(wèn)的范圍息息相關(guān),我們一般都是采取策略標(biāo)簽或者控制列表的形式來(lái)進(jìn)行訪問(wèn),這樣做的目的就在于能夠有效確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)授權(quán)的正確性和合理性。
(3)完整性
可以通過(guò)散列函數(shù)或者加密的方法來(lái)防治非法信息進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng),以此來(lái)確保所儲(chǔ)存數(shù)據(jù)的完整性。
(4)可用性
在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計(jì)環(huán)節(jié),應(yīng)該要確保信息資源具有可用性,在突然遇到攻擊的時(shí)候,能夠及時(shí)使得各類信息資源恢復(fù)到正常運(yùn)行的狀態(tài)。
(5)認(rèn)證性
為了確保權(quán)限所有者和權(quán)限提供者都是同一用戶,目前應(yīng)用較為廣泛的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)認(rèn)證方式一般有兩種,分別是數(shù)據(jù)源認(rèn)證和實(shí)體性認(rèn)證兩種,這兩種方式都能夠得到在當(dāng)前技術(shù)條件支持。
2.2計(jì)算機(jī)網(wǎng)絡(luò)信息管理中的安全性問(wèn)題
大量的實(shí)踐證明,計(jì)算機(jī)網(wǎng)絡(luò)信息管理中存在的安全性問(wèn)題主要有兩種類型,第一種主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作的可用性和完整性,屬于信息安全監(jiān)測(cè)問(wèn)題;第二種主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作的抗抵賴性、認(rèn)證性、授權(quán)性、保密性,屬于信息訪問(wèn)控制問(wèn)題。
(1)信息安全監(jiān)測(cè)
有效地實(shí)施信息安全監(jiān)測(cè)工作,可以在最大程度上有效消除網(wǎng)絡(luò)系統(tǒng)脆弱性與網(wǎng)絡(luò)信息資源開(kāi)放性二者之間的矛盾,能夠使得網(wǎng)絡(luò)信息安全的管理人員及時(shí)發(fā)現(xiàn)安全隱患源,及時(shí)預(yù)警處理遭受攻擊的對(duì)象,然后再確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)能夠得以恢復(fù)。
(2)信息訪問(wèn)控制問(wèn)題
整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理的核心和基礎(chǔ)就是信息訪問(wèn)控制問(wèn)題。信息資源使用方和擁有方在網(wǎng)絡(luò)信息通信的過(guò)程都應(yīng)該有一定的訪問(wèn)控制要求。換而言之,整個(gè)網(wǎng)絡(luò)信息安全防護(hù)的對(duì)象應(yīng)該放在資源信息的和個(gè)人信息的儲(chǔ)存。
3如何有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)
(1)高度重視,完善制度
根據(jù)單位環(huán)境與特點(diǎn)制定、完善相關(guān)管理制度。如計(jì)算機(jī)應(yīng)用管理規(guī)范、保密信息管理規(guī)定、定期安全檢查與上報(bào)等制度。成立領(lǐng)導(dǎo)小組和工作專班,完善《計(jì)算機(jī)安全管理制度》、《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《計(jì)算機(jī)安全保密管理規(guī)定》等制度,為規(guī)范管理夯實(shí)了基礎(chǔ)。同時(shí),明確責(zé)任,強(qiáng)化監(jiān)督。嚴(yán)格按照保密規(guī)定,明確涉密信息錄入及流程,定期進(jìn)行安全保密檢查,及時(shí)消除保密隱患,對(duì)檢查中發(fā)現(xiàn)的問(wèn)題,提出整改時(shí)限和具體要求,確保工作不出差錯(cuò)。此外,加強(qiáng)培訓(xùn),廣泛宣傳。有針對(duì)性組織開(kāi)展計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件、網(wǎng)絡(luò)知識(shí)、數(shù)據(jù)傳輸安全和病毒防護(hù)等基本技能培訓(xùn),利用每周學(xué)習(xí)日集中收看網(wǎng)絡(luò)信息安全知識(shí)講座,使信息安全意識(shí)深入人心。 (2)合理配置,注重防范
第一,加強(qiáng)病毒防護(hù)。單位中心機(jī)房服務(wù)器和各基層單位工作端均部署防毒、殺毒軟件,并及時(shí)在線升級(jí)。嚴(yán)格區(qū)分訪問(wèn)內(nèi)、外網(wǎng)客戶端,對(duì)機(jī)房設(shè)備實(shí)行雙人雙查,定期做好網(wǎng)絡(luò)維護(hù)及各項(xiàng)數(shù)據(jù)備份工作,對(duì)重要數(shù)據(jù)實(shí)時(shí)備份,異地儲(chǔ)存。同時(shí),嚴(yán)格病毒掃描。針對(duì)網(wǎng)絡(luò)傳輸、郵件附件或移動(dòng)介質(zhì)的方式接收的文件,有可能攜帶病毒的情況,要求接收它們之前使用殺毒軟件進(jìn)行病毒掃描。第二,加強(qiáng)強(qiáng)弱電保護(hù)。在所有服務(wù)器和網(wǎng)絡(luò)設(shè)備接入端安裝弱電防雷設(shè)備,在所有弱電機(jī)房安裝強(qiáng)電防雷保護(hù)器,保障雷雨季節(jié)主要設(shè)備的安全運(yùn)行。第三,加強(qiáng)應(yīng)急管理。建立應(yīng)急管理機(jī)制,完善應(yīng)急事件出現(xiàn)時(shí)的事件上報(bào)、初步處理、查實(shí)處理、責(zé)任追究等措施,并定期開(kāi)展進(jìn)行預(yù)演,確保事件發(fā)生時(shí)能夠從容應(yīng)對(duì)。第四,加強(qiáng)“兩個(gè)隔離”管理。即內(nèi)、外網(wǎng)物理徹底隔離和通過(guò)防火墻進(jìn)行“邊界隔離”,通過(guò)隔離實(shí)現(xiàn)有效防護(hù)外來(lái)攻擊,防止內(nèi)、外網(wǎng)串聯(lián)。第五,嚴(yán)格移動(dòng)存儲(chǔ)介質(zhì)應(yīng)用管理。對(duì)單位所有的移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行登記,要求使用人員嚴(yán)格執(zhí)行《移動(dòng)存儲(chǔ)介質(zhì)管理制度》,杜絕外來(lái)病毒的入侵和泄密事件的發(fā)生。同時(shí),嚴(yán)格安全密碼管理。所有工作用機(jī)設(shè)置開(kāi)機(jī)密碼,且密碼長(zhǎng)度不得少于8位,定期更換密碼。第六,嚴(yán)格使用桌面安全防護(hù)系統(tǒng)。每臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)都安裝了桌面安全防護(hù)系統(tǒng),實(shí)現(xiàn)了對(duì)計(jì)算機(jī)設(shè)備軟、硬件變動(dòng)情況的適時(shí)監(jiān)控。第七,嚴(yán)格數(shù)據(jù)備份管理。除了信息中心對(duì)全局?jǐn)?shù)據(jù)定期備份外,要求個(gè)人對(duì)重要數(shù)據(jù)也定期備份,把備份數(shù)據(jù)保存在安全介質(zhì)上。
(3)堅(jiān)持以信息安全等級(jí)保護(hù)工作為核心
把等級(jí)保護(hù)的相關(guān)政策和技術(shù)標(biāo)準(zhǔn)與自身的安全需求深度融合,采取一系列有效措施,使等級(jí)保護(hù)制度在全局得到有效落實(shí),有效的保障業(yè)務(wù)信息系統(tǒng)安全。
第一,領(lǐng)導(dǎo)高度重視,組織保障有力。單位領(lǐng)導(dǎo)應(yīng)該高度重視信息化和信息安全工作,成立專門的信息中心,具體負(fù)責(zé)等級(jí)保護(hù)相關(guān)工作,統(tǒng)籌全局的信息安全工作。建立可靠的信息安全基礎(chǔ)設(shè)施,重點(diǎn)強(qiáng)化第二級(jí)信息系統(tǒng)的合規(guī)建設(shè),加強(qiáng)了信息系統(tǒng)的運(yùn)維管理,對(duì)重要信息系統(tǒng)建立了災(zāi)難備份及應(yīng)急預(yù)案,有效提高了系統(tǒng)的安全防護(hù)水平。
第二,完善措施,保障經(jīng)費(fèi)。一是認(rèn)真組織開(kāi)展信息系統(tǒng)定級(jí)備案工作。二是組織開(kāi)展信息系統(tǒng)等級(jí)測(cè)評(píng)和安全建設(shè)整改。三是開(kāi)展了信息安全檢查活動(dòng)。對(duì)信息安全、等級(jí)保護(hù)落實(shí)情況進(jìn)行了檢查。
第三,建立完善各項(xiàng)安全保護(hù)技術(shù)措施和管理制度,有效保障重要信息系統(tǒng)安全。一是對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全區(qū)域劃分。按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,提出了“縱向分層、水平分區(qū)、區(qū)內(nèi)細(xì)分”的網(wǎng)絡(luò)安全區(qū)域劃分原則,對(duì)網(wǎng)絡(luò)進(jìn)行了認(rèn)真梳理、合理規(guī)劃、有效調(diào)整。二是持續(xù)推進(jìn)病毒治理和桌面安全管理。三是加強(qiáng)制度建設(shè)和信息安全管理。本著“預(yù)防為主,建章立制,加強(qiáng)管理,重在治本”的原則,堅(jiān)持管理與技術(shù)并重的原則,對(duì)信息安全工作的有效開(kāi)展起到了很好的指導(dǎo)和規(guī)范作用。
(4)采用專業(yè)性解決方案保護(hù)網(wǎng)絡(luò)信息安全
大型的單位,如政府、高校、大型企業(yè)由于網(wǎng)絡(luò)信息資源龐大,可以采用專業(yè)性解決方案來(lái)保護(hù)網(wǎng)絡(luò)信息安全,諸如銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護(hù)解決方案。銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護(hù)解決方案能提供從網(wǎng)絡(luò)層、應(yīng)用層到web層的全面防護(hù);其中防火墻、ids分別提供網(wǎng)絡(luò)層和應(yīng)用層防護(hù),ace對(duì)web服務(wù)提供帶寬保障;而方案的主體產(chǎn)品銳捷webguard(wg)進(jìn)行web攻擊防御,方案能給客戶帶來(lái)的價(jià)值:
防網(wǎng)頁(yè)篡改、掛馬
許多大型的單位作為公共信息提供者,網(wǎng)頁(yè)被篡改、掛馬將造成不良社會(huì)影響,降低單位聲譽(yù)。目前客戶常用的防火墻、ids/ ips、網(wǎng)頁(yè)防篡改,無(wú)法解決通過(guò)80端口、無(wú)特征庫(kù)、針對(duì)動(dòng)態(tài)頁(yè)面的web攻擊。webguard ddse深度解碼檢測(cè)引擎有效防御sql注入、跨站腳本等。
高性能,一站式保護(hù)各院系網(wǎng)站
對(duì)于大型單位客戶,往往擁有眾多部門,而并非所有大型單位都將各部門網(wǎng)站統(tǒng)一管理。各部門網(wǎng)站技術(shù)運(yùn)維能力相對(duì)較弱,經(jīng)常成為攻擊重點(diǎn)。webguard利用高性能多核架構(gòu),提供并行處理。支持在網(wǎng)絡(luò)出口部署,一站式保護(hù)各部門網(wǎng)站。
“零配置”運(yùn)行,簡(jiǎn)化部署
webguard針對(duì)用戶,集成默認(rèn)配置模板,支持“零配置”運(yùn)行。一旦上線,即可防護(hù)絕大多數(shù)攻擊。后續(xù)用戶可以根據(jù)網(wǎng)絡(luò)情況,進(jìn)行優(yōu)化策略。避免同類產(chǎn)品常見(jiàn)繁瑣配置,毋須客戶具備專業(yè)的安全技能,即可擁有良好的體驗(yàn)。
滿足合規(guī)性檢查要求
繼08年北京奧運(yùn)、09年國(guó)慶60周年后,10年上海世博會(huì)、廣州亞運(yùn)會(huì)先后舉行。在重大活動(dòng)前后,各級(jí)主管單位和公安部門,紛紛發(fā)文,要求針對(duì)網(wǎng)站安全采取措施。webguard恰好能很好的滿足合規(guī)性檢查的需求,幫助用戶順利通過(guò)檢查。
4結(jié)束語(yǔ)
新時(shí)期的計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作正向著系統(tǒng)化、集成化、多元化的方向發(fā)展,但是網(wǎng)絡(luò)信息安全問(wèn)題日益突出,值得我們大力關(guān)注,有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)是極為重要的,具有較大的經(jīng)濟(jì)價(jià)值和社會(huì)效益。
參考文獻(xiàn):
[1]段盛.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理系統(tǒng)可靠性探討[j].湖南農(nóng)業(yè)大學(xué)學(xué)報(bào):自然科學(xué)版,2000(26):134-136.
[2]李曉琴.張卓容.醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)信息管理的設(shè)計(jì)與應(yīng)用[j].醫(yī)療裝備,2003.(16):109-113.
[3]李曉紅.婦幼保健信息計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)的建立與應(yīng)用[j].中國(guó)婦幼保健,2010(25):156-158.
[4]羅宏儉.計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)在公路建設(shè)項(xiàng)目管理中的應(yīng)用[j].交通科技,2009.(1):120-125.
[5] bace rebecca.intrusion detection[m].macmillan technical publishing,2000.
2010年4月21日,第十一屆中國(guó)信息安全大會(huì)在北京新世紀(jì)日航飯店隆重召開(kāi)。本次會(huì)議由中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院主辦,中國(guó)計(jì)算機(jī)報(bào)承辦,并得到了工業(yè)和信息化部信息安全協(xié)調(diào)司、中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)和國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心的大力支持和指導(dǎo)。本次大會(huì)繼續(xù)保持了歷年大會(huì)的綜合性、前沿性、權(quán)威性等特點(diǎn),知名的信息安全專家、廠商代表等共聚一堂,圍繞“融合安全?風(fēng)險(xiǎn)識(shí)別”這一業(yè)界關(guān)注熱點(diǎn),共同探討了信息安全產(chǎn)業(yè)發(fā)展及技術(shù)創(chuàng)新等議題。
完善信息安全保障體系
經(jīng)過(guò)20多年的演進(jìn),我國(guó)信息安全產(chǎn)業(yè)已經(jīng)從萌芽期逐漸過(guò)渡到快速發(fā)展期。隨著信息化的發(fā)展,信息安全的問(wèn)題應(yīng)該說(shuō)更加突出,一方面,國(guó)民經(jīng)濟(jì)和社會(huì)都越來(lái)越依賴信息系統(tǒng),通信、交通、能源、金融等一些重要行業(yè)都離不開(kāi)網(wǎng)絡(luò)和信息系統(tǒng),網(wǎng)絡(luò)信息系統(tǒng)一旦出現(xiàn)大的問(wèn)題可能直接影響國(guó)民經(jīng)濟(jì)和社會(huì)的正常運(yùn)轉(zhuǎn);另一方面,我們的網(wǎng)絡(luò)信息系統(tǒng)也并不安全,病毒、黑客攻擊、各種惡意代碼對(duì)系統(tǒng)正常運(yùn)行產(chǎn)生了嚴(yán)重的影響。由于我們國(guó)家的信息化建設(shè)還處在快速的發(fā)展階段,因此信息安全形勢(shì)不容樂(lè)觀。
工業(yè)和信息化部信息安全協(xié)調(diào)司司長(zhǎng)趙澤良在會(huì)上表示,隨著信息化的發(fā)展,信息安全問(wèn)題更加突出。面對(duì)日益復(fù)雜的信息安全形勢(shì),要堅(jiān)持積極防御、綜合防范的方針,著重做好五方面的工作:一是大力加強(qiáng)信息安全的統(tǒng)籌協(xié)調(diào);二是抓緊完善相應(yīng)的信息安全法律法規(guī)和規(guī)章制度建設(shè);三是大力加強(qiáng)政府信息系統(tǒng)、重要信息系統(tǒng)的安全防護(hù)工作;四是大力加強(qiáng)信息安全的教育和人才培養(yǎng)工作;五是大力發(fā)展信息安全技術(shù)和產(chǎn)業(yè)。
中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院黨委書(shū)記洪京一在大會(huì)上指出,中國(guó)信息安全產(chǎn)業(yè)近年來(lái)得到了快速的發(fā)展,這一方面源于從中央到各級(jí)地方政府的廣泛重視,另一方面還源于我國(guó)有一批積極進(jìn)取的信息安全創(chuàng)新企業(yè)。正是由于產(chǎn)業(yè)界持續(xù)的技術(shù)創(chuàng)新,再加上信息安全領(lǐng)域高水平研究機(jī)構(gòu)和專家隊(duì)伍不遺余力的推動(dòng),才使得一大批新技術(shù)、新產(chǎn)品、新方法和新概念能夠在近幾年的產(chǎn)業(yè)發(fā)展中得以不斷地涌現(xiàn)。
洪京一認(rèn)為,當(dāng)前我們面臨著信息產(chǎn)業(yè)更新?lián)Q代、迅猛發(fā)展的新形勢(shì),網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)日新月異。隨著網(wǎng)絡(luò)的快速發(fā)展,網(wǎng)絡(luò)應(yīng)用類別越來(lái)越多,物聯(lián)網(wǎng)、云計(jì)算、三網(wǎng)融合、移動(dòng)互聯(lián)網(wǎng)、手機(jī)支付等新興應(yīng)用給我們帶來(lái)了技術(shù)層面和業(yè)務(wù)層面的全新變革。隨之而來(lái)的應(yīng)用復(fù)雜度和風(fēng)險(xiǎn)也越來(lái)越高。我們必須通過(guò)完善的安全保障手段,讓這些新興技術(shù)更好地為我所用。
中國(guó)科學(xué)院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室教授翟起濱表示,隨著時(shí)間的推移,所有的一切都要連接到云上,所有的客戶都需要讓云提供服務(wù),每臺(tái)服務(wù)器都需要與云計(jì)算結(jié)合,網(wǎng)絡(luò)時(shí)代的各種通信協(xié)議和專有設(shè)備都將被顛覆?,F(xiàn)在各國(guó)都在建立自己的云計(jì)算發(fā)展計(jì)劃,我國(guó)既要跟上這種信息革命的步伐,也要有自己的思維,不能一味地追求云。如何基于我國(guó)的實(shí)際國(guó)情,打造合適的云服務(wù)體系,是需要產(chǎn)業(yè)界共同關(guān)注和研究的問(wèn)題。
嚴(yán)格推進(jìn)等級(jí)保護(hù)制度
面對(duì)日益嚴(yán)峻的安全問(wèn)題,等級(jí)保護(hù)制度的嚴(yán)格開(kāi)展和實(shí)施已經(jīng)愈發(fā)受到各界的關(guān)注。近年來(lái),隨著國(guó)家強(qiáng)制要求建立等級(jí)保護(hù)基礎(chǔ)性標(biāo)準(zhǔn),社會(huì)各界對(duì)等級(jí)保護(hù)政策及其具體實(shí)施給予高度的關(guān)注。
目前,在國(guó)內(nèi)有關(guān)專家、企業(yè)的支持下,公安部和全國(guó)安全生產(chǎn)標(biāo)準(zhǔn)化委員會(huì)以及公安部的行業(yè)標(biāo)準(zhǔn)委員會(huì)組織制訂了一系列等級(jí)保護(hù)工作的標(biāo)準(zhǔn)。這些等級(jí)保護(hù)標(biāo)準(zhǔn)的出臺(tái),為我國(guó)全面開(kāi)展信息安全等級(jí)保護(hù)工作提供了重要的依據(jù),也為等級(jí)保護(hù)工作提出了一個(gè)總體目標(biāo),有關(guān)行業(yè)部門可以在國(guó)家標(biāo)準(zhǔn)的基礎(chǔ)之上制訂出臺(tái)行業(yè)標(biāo)準(zhǔn)規(guī)范,比如說(shuō)電信行業(yè)、電力行業(yè)、證券行業(yè)等。本次大會(huì)上,公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全處長(zhǎng)對(duì)等級(jí)保護(hù)的重要性和目前的開(kāi)展情況進(jìn)行了介紹。郭啟全表示,我們信息安全等級(jí)保護(hù)工作從2006年正式推動(dòng)以來(lái),已經(jīng)完成了從基礎(chǔ)調(diào)查到行業(yè)試點(diǎn)再到部署定級(jí)等一系列工作。有關(guān)部門通過(guò)定級(jí)已經(jīng)把我國(guó)的幾萬(wàn)個(gè)重要系統(tǒng)梳理了出來(lái),其中包括了幾十個(gè)行業(yè)部門的500個(gè)大系統(tǒng)。這些跨省聯(lián)網(wǎng)的大系統(tǒng)就是我們下一步要進(jìn)行安全建設(shè)整改、等級(jí)測(cè)評(píng)以及國(guó)家重點(diǎn)支持的目標(biāo)。
今后三年信息安全等級(jí)保護(hù)工作的重點(diǎn)將圍繞安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)等工作展開(kāi),有效提高信息系統(tǒng)安全管理水平。開(kāi)展等級(jí)保護(hù)工作需要實(shí)現(xiàn)的目標(biāo)將從以下五個(gè)方面體現(xiàn):一是單位管理水平明顯提高,二是信息系統(tǒng)的防范能力明顯增強(qiáng),三是信息系統(tǒng)安全隱患和安全事故明顯減少,四是有效保障信息化健康發(fā)展,五是有效維護(hù)國(guó)家、社會(huì)秩序和公共利益。
從實(shí)際應(yīng)用的角度出發(fā),郭啟全認(rèn)為各單位、各部門應(yīng)該按照以下工作流程去開(kāi)展今后三年的工作:第一,制訂行業(yè)的安全整改工作規(guī)劃,對(duì)安全整改工作進(jìn)行整體部署,目前已經(jīng)有十幾個(gè)部委大規(guī)模地開(kāi)始培訓(xùn)和部署工作,還有一些重要行業(yè)正在研究,需要抓緊部署;第二,開(kāi)展安全現(xiàn)狀分析,從管理和技術(shù)兩個(gè)方面確定安全建設(shè)整改的需求;第三,確定安全保護(hù)策略,制訂系統(tǒng)整改方案;第四,按照方案進(jìn)行安全建設(shè)整改;第五,進(jìn)行安全自查和等級(jí)測(cè)評(píng),發(fā)現(xiàn)問(wèn)題進(jìn)一步整改。
多種保護(hù)模式融合
在網(wǎng)絡(luò)融合、業(yè)務(wù)融合以后,企業(yè)中的信息應(yīng)用模式出現(xiàn)了變化。業(yè)務(wù)融合以后的數(shù)據(jù)流量模型與傳統(tǒng)的模型相比有很大的變化,高度集中的數(shù)據(jù)中心改變了傳統(tǒng)的數(shù)據(jù)流量分布模型,大規(guī)模的應(yīng)用都需要通過(guò)數(shù)據(jù)中心來(lái)對(duì)外提供服務(wù),在這種情況下,流量是從分散走向高度的集中。在業(yè)務(wù)層面,除了傳統(tǒng)的數(shù)據(jù)中心業(yè)務(wù)以外,以語(yǔ)音、視頻為代表的多媒體業(yè)務(wù),以微博、社區(qū)為代表的Web2.0應(yīng)用也在逐漸多樣化。另外,網(wǎng)絡(luò)的邊界也在變得模糊,當(dāng)存儲(chǔ)、計(jì)算、網(wǎng)絡(luò)等資源高度集中時(shí),安全的邊界已經(jīng)不像原來(lái)想象得那么簡(jiǎn)單了。這種情況下,新的安全防護(hù)模型在做安全防護(hù)的時(shí)候,一定要考慮融合于網(wǎng)絡(luò),并且進(jìn)行深度的虛擬化,以網(wǎng)絡(luò)做支撐,將現(xiàn)有的安全部署方式、安全部署的經(jīng)驗(yàn)合理部署到企業(yè)的實(shí)際營(yíng)運(yùn)過(guò)程中去。
本次大會(huì)上,H3C公司展現(xiàn)了其多層次融合的整體化安全解決方案,通過(guò)多種安全技術(shù)減少企業(yè)在安全建設(shè)上的資金投入,從而降低企業(yè)的運(yùn)營(yíng)成本,提高企業(yè)IT投入有效性。據(jù)H3C安全產(chǎn)品線規(guī)劃設(shè)計(jì)部經(jīng)理孫松兒介紹,這套解決方案的核心就是面向安全的網(wǎng)絡(luò)設(shè)計(jì),更關(guān)注網(wǎng)絡(luò)安全層次化的部署,強(qiáng)調(diào)網(wǎng)絡(luò)和安全的融合。
融合安全類產(chǎn)品正在成為網(wǎng)關(guān)發(fā)展的主流趨勢(shì),實(shí)現(xiàn)全網(wǎng)的安全防護(hù)會(huì)是這一類產(chǎn)品的重要發(fā)展方向。不過(guò)由于各大行業(yè)應(yīng)用情況不一樣,所以用戶個(gè)性化需求也會(huì)日趨強(qiáng)烈。在本次大會(huì)上,藍(lán)盾信息安全技術(shù)股份有限公司提出的模塊化UTM解決方案收到了廣泛關(guān)注,該方案可以解決傳統(tǒng)方案存在的問(wèn)題,包括設(shè)備過(guò)多、資源浪費(fèi)、部署比較復(fù)雜、管理成本比較高、無(wú)法抵御混合式攻擊等難題。通過(guò)模塊化方式,網(wǎng)關(guān)產(chǎn)品可以實(shí)現(xiàn)功能高度集成,減少設(shè)備投資,同時(shí)部署非常簡(jiǎn)單。
除了傳統(tǒng)的安全防護(hù)模式,本次大會(huì)針對(duì)當(dāng)前流行的電子商務(wù)安全和網(wǎng)絡(luò)訪問(wèn)安全也進(jìn)行了針對(duì)性的討論。確保電子商務(wù)收付款機(jī)制安全能夠提高消費(fèi)者對(duì)網(wǎng)上交易的信心。聯(lián)款通公司在大會(huì)上闡釋了保障在線支付服務(wù)安全的重要意義。在網(wǎng)絡(luò)威脅與日俱增的環(huán)境中,聯(lián)款通公司始終憑借專業(yè)的服務(wù)能力,通過(guò)先進(jìn)的技術(shù)手段,改善著消費(fèi)者對(duì)網(wǎng)上交易的信心。聯(lián)款通行政總裁陳永祥表示:“通過(guò)我們的網(wǎng)關(guān)可以處理零售、電話、互聯(lián)網(wǎng)交易等多種在線支付,而且這個(gè)支付網(wǎng)關(guān)隨著全球電子商務(wù)的發(fā)展,其功能越來(lái)越強(qiáng)大,我們可以處理不同的客戶付款類別,不同收單銀行以及不同的語(yǔ)言,這些都有效地幫助了企業(yè)開(kāi)展線上業(yè)務(wù)?!?/p>
為了深入貫徹學(xué)習(xí)關(guān)于網(wǎng)絡(luò)安全系列重要講話精神,積極響應(yīng)中央網(wǎng)信辦、工業(yè)和信息化部、公安部等六部門聯(lián)合的《關(guān)于印刷國(guó)家網(wǎng)絡(luò)安全宣傳周活動(dòng)方案的通知》的要求,9月24日,由杭州市政府、中國(guó)信息化推進(jìn)聯(lián)盟、浙江經(jīng)濟(jì)理事會(huì)主辦,杭州市拱墅區(qū)政府、中國(guó)信息化推進(jìn)聯(lián)盟協(xié)同創(chuàng)新專委會(huì)、浙江乾冠信息安全研究院承辦的2016第二屆中國(guó)網(wǎng)絡(luò)安全協(xié)同創(chuàng)新高峰論壇?杭州峰會(huì)在美麗的西子湖畔召開(kāi)。
峰會(huì)上,來(lái)自中央網(wǎng)信辦、公安部、中科院及國(guó)家有關(guān)部門的領(lǐng)導(dǎo)、專家就如何學(xué)習(xí)貫徹關(guān)于網(wǎng)絡(luò)安全和信息化的系列講話精神、網(wǎng)絡(luò)安全面臨的嚴(yán)峻復(fù)雜形勢(shì)、網(wǎng)絡(luò)安全管理的方針政策、網(wǎng)絡(luò)安全體系建設(shè)的策略建議和實(shí)踐案例等進(jìn)行了研討交流。
本刊摘取部分專家精彩觀點(diǎn),以饗讀者。
建設(shè)整體信息安全保密體系
楊國(guó)勛認(rèn)為,當(dāng)前的信息安全問(wèn)題不容小覷,特別是政府及金融、能源等關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障問(wèn)題。應(yīng)該強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全,進(jìn)而大力推動(dòng)重要領(lǐng)域整體信息安保體系建設(shè)。
但是,信息安全既沒(méi)有絕對(duì)的安全,也沒(méi)有永久的安全,因此,整體信息的安全防護(hù)也不可能一勞永逸,徹底管住。所以,在實(shí)際操作中,我們應(yīng)該是在有效安全的前提下,以發(fā)展促安全。
那么,如何做到有效防護(hù)?第一,要明確消除可預(yù)見(jiàn)的整體安防的薄弱點(diǎn)和空白點(diǎn)。要按照對(duì)雙方的重要性及損害的嚴(yán)重程度分類評(píng)估,來(lái)判定做還是不做。如果是有可預(yù)見(jiàn)的薄弱點(diǎn),就不能做。第二,要?jiǎng)?chuàng)新安防的思路、方法、路線圖?,F(xiàn)實(shí)中,我們經(jīng)常會(huì)遇到“又要馬兒跑、又要馬兒不吃草”的問(wèn)題,信息安全也是這樣的問(wèn)題,又要安全,又要擴(kuò)大應(yīng)用。在這種情況下,我們需要?jiǎng)?chuàng)新,需要從另外的角度來(lái)分析和思考。比如風(fēng)險(xiǎn)管理,不僅要分析對(duì)自己的重要性,也要分析對(duì)敵方的重要性;出了事情,要分析對(duì)自己的影響,也要分析對(duì)敵方的影響;比如法制管理,用法制的威懾力,使他不敢造次,不敢隨便地對(duì)你進(jìn)行攻擊。第三,要有科學(xué)、合理、可持續(xù)的實(shí)施方案。
互聯(lián)網(wǎng)+下的工業(yè)安全技術(shù)
在演講中,何積豐提及了工業(yè)控制系統(tǒng)的三個(gè)安全目標(biāo):一是通信可控,要能直觀觀察、監(jiān)控、管理通信數(shù)據(jù),僅能保證專有協(xié)議的數(shù)據(jù)傳輸,禁止其他通信;二是區(qū)域隔離,要能防止局部控制網(wǎng)絡(luò)問(wèn)題擴(kuò)散導(dǎo)致全局癱瘓,要在關(guān)鍵數(shù)據(jù)通道上部署網(wǎng)絡(luò)隔離;三是報(bào)警追蹤,要能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全問(wèn)題,確定故障點(diǎn),記錄報(bào)警事件,為故障分析提供依據(jù)。
對(duì)于工業(yè)控制系統(tǒng)的安全防御策略,何積豐提出了五道防線,分別是:第三方商用防火墻,聯(lián)合安全網(wǎng)關(guān),工業(yè)PC安全防護(hù),現(xiàn)場(chǎng)設(shè)備控制防護(hù),安全可靠的現(xiàn)場(chǎng)設(shè)備??梢圆扇〉木唧w措施也有五條:去中心化、智能下移、異構(gòu)冗余,分布協(xié)同、蜜罐技術(shù)。
何積豐認(rèn)為,未來(lái)幾年,工業(yè)控制系統(tǒng)安全發(fā)展趨勢(shì)將朝著以下幾方面發(fā)展:一是隨著硬件元器件的可靠性越來(lái)越高及冗余技術(shù)的使用,安全問(wèn)題的矛盾主要集中于軟件,軟件安全性面臨嚴(yán)峻形勢(shì);二是工控信息安全標(biāo)準(zhǔn)需求強(qiáng)烈,標(biāo)準(zhǔn)制定工作亟需全面推進(jìn);三是隨著自動(dòng)化系統(tǒng)IT化,傳統(tǒng)邊界防護(hù)難以滿足工業(yè)控制環(huán)境;四是行業(yè)內(nèi)尚未形成氣候,需要整合自動(dòng)化與信息安全公司優(yōu)勢(shì),帶動(dòng)產(chǎn)業(yè)全面發(fā)展;五是工控安全防護(hù)技術(shù)迅速發(fā)展并在局部開(kāi)始試點(diǎn),距離大規(guī)模部署和應(yīng)用有一定差距。
深化國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,全力保衛(wèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全
陳廣勇除匯報(bào)了公安部在網(wǎng)絡(luò)安全方面的一些工作情況和應(yīng)對(duì)措施之外,還給重要行業(yè)部門開(kāi)展網(wǎng)絡(luò)安全工作和信息安全企業(yè)提出了一些建議。
他建議,重要行業(yè)部門開(kāi)展網(wǎng)絡(luò)安全工作要統(tǒng)籌規(guī)劃行業(yè)安全工作,以網(wǎng)絡(luò)安全等級(jí)保護(hù)工作為抓手,以信息通報(bào)為平臺(tái),以全面加強(qiáng)安全管理和技術(shù)防范為重點(diǎn),以提高網(wǎng)絡(luò)安全保障能力為目標(biāo),全力構(gòu)建本行業(yè)網(wǎng)絡(luò)安全綜合防御體系。
針對(duì)信息安全企業(yè),他建議,第一是要緊密圍繞國(guó)家網(wǎng)絡(luò)安全重大舉措來(lái)開(kāi)展經(jīng)營(yíng)活動(dòng),包括及時(shí)跟蹤了解國(guó)家法律、政策、標(biāo)準(zhǔn)和重大舉措;有針對(duì)性地制定具有行業(yè)特點(diǎn)的產(chǎn)品研發(fā)戰(zhàn)略、技術(shù)創(chuàng)新,著重解決云、大、物、移以及工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn),制定相應(yīng)的整體解決方案;第二是要積極參與和跟進(jìn)信息安全標(biāo)準(zhǔn)的規(guī)范研究工作;第三是要全力支撐國(guó)家網(wǎng)絡(luò)安全重點(diǎn)工作,做好技術(shù)儲(chǔ)備和技術(shù)創(chuàng)新,信息安全企業(yè)要積極參與網(wǎng)絡(luò)安全信息通報(bào)預(yù)警、智慧城市的網(wǎng)絡(luò)安全管理、新技術(shù)、新應(yīng)用推廣等國(guó)家有較大投入的方面;第四是要加強(qiáng)規(guī)劃、科學(xué)布局,企業(yè)要做好長(zhǎng)遠(yuǎn)的戰(zhàn)略規(guī)劃,努力成為既能提供整體的網(wǎng)絡(luò)安全解決方案,也能提供高質(zhì)量的咨詢服務(wù)能力的綜合服務(wù)提供商。
擬態(tài)防御,協(xié)同眾測(cè)促進(jìn)網(wǎng)絡(luò)安全創(chuàng)新
演講中,葛培勤指出了當(dāng)今網(wǎng)絡(luò)安全的五個(gè)特點(diǎn):一是網(wǎng)絡(luò)安全是整體的不是割裂的,二是網(wǎng)絡(luò)安全是動(dòng)態(tài)的不是靜態(tài)的,三是網(wǎng)絡(luò)安全是開(kāi)放的而不是封閉的,四是網(wǎng)絡(luò)安全是相對(duì)的而不是絕對(duì)的,五是網(wǎng)絡(luò)安全是共同的而不是孤立的。他進(jìn)而指出:網(wǎng)絡(luò)防護(hù)需要靠大家共同協(xié)防,網(wǎng)絡(luò)檢測(cè)需要靠大家一起發(fā)現(xiàn)問(wèn)題,網(wǎng)絡(luò)管理需要大家齊抓共管,網(wǎng)絡(luò)應(yīng)急需要靠大家一起處置/恢復(fù),網(wǎng)絡(luò)演練需要靠大家共同參與,網(wǎng)絡(luò)安全需要靠廣大人民。
他講到,近年來(lái),針對(duì)傳統(tǒng)13類產(chǎn)品以外的信息安全產(chǎn)品層出不窮,如APT網(wǎng)絡(luò)監(jiān)控類、工控安全類、生物識(shí)別類、認(rèn)證類、安全芯片類、大數(shù)據(jù)分析類、物聯(lián)網(wǎng)安全等等,而創(chuàng)新產(chǎn)品測(cè)評(píng)與統(tǒng)一認(rèn)證,將加快這些創(chuàng)新產(chǎn)品進(jìn)入實(shí)際應(yīng)用。國(guó)家信息技術(shù)安全研究中心與中國(guó)信息安全中心協(xié)商一致,最近將與多家測(cè)評(píng)機(jī)構(gòu)進(jìn)一步溝通協(xié)商,一是在測(cè)評(píng)規(guī)范上采取一定的措施,如鼓勵(lì)采用未國(guó)標(biāo)開(kāi)展試點(diǎn)示范,采用參考行標(biāo)擴(kuò)大使用范圍,采用多家眾測(cè)形成測(cè)試用例,同時(shí)借鑒國(guó)外相關(guān)技術(shù)標(biāo)準(zhǔn)等方法,加快形成創(chuàng)新產(chǎn)品的基本測(cè)評(píng)用例和增強(qiáng)測(cè)試用例,采取結(jié)果導(dǎo)向、問(wèn)題導(dǎo)向、目標(biāo)導(dǎo)向理念,開(kāi)展基于漏洞分析挖掘的產(chǎn)品測(cè)評(píng),并對(duì)相對(duì)成熟的創(chuàng)新類產(chǎn)品、專家評(píng)審和審批后發(fā)放統(tǒng)一的認(rèn)證證書(shū)。眾測(cè)活動(dòng)需要嚴(yán)格的管理措施來(lái)保證測(cè)評(píng)中的“7性”,組織方必須周密組織,公開(kāi)公平公正地開(kāi)展工作,保證測(cè)評(píng)的嚴(yán)肅性、嚴(yán)謹(jǐn)性。
跨維―深度聚焦網(wǎng)安生態(tài)
徐平說(shuō),在整個(gè)網(wǎng)絡(luò)信息化發(fā)展過(guò)程中,乾冠信息安全研究院主要解決網(wǎng)絡(luò)安全中第一公里和最后一公里的問(wèn)題,其中的第一公里小到一個(gè)單位,大到國(guó)家互聯(lián)網(wǎng)的出入口。乾冠信息安全研究院致力于通過(guò)時(shí)空跨維和深度聚焦,來(lái)形成一個(gè)比較完整的針對(duì)安全威脅的體系化的解決方案。
如何發(fā)現(xiàn)并分析處理數(shù)據(jù)安全,需要業(yè)界廠家形成合力,利用大數(shù)據(jù)驅(qū)動(dòng)構(gòu)建一個(gè)安全管理的平臺(tái)。這也是研究院積極參與構(gòu)建中國(guó)網(wǎng)絡(luò)安全協(xié)同創(chuàng)新共同體、網(wǎng)絡(luò)安全態(tài)勢(shì)感知生態(tài)矩陣的初衷,即借助平臺(tái)化的方式,用平臺(tái)+服務(wù)、平臺(tái)+產(chǎn)品、平臺(tái)+合作伙伴等模式,來(lái)為用戶提供整體的服務(wù)。平臺(tái)矩陣將從三個(gè)層面提供防御保護(hù):遠(yuǎn)程防御、云防御和安全設(shè)備。
他坦言,對(duì)安全威脅的一些未來(lái)的預(yù)測(cè),是乾冠信息安全研究院下一步要重點(diǎn)突破的方向。
安全理念更新引領(lǐng)網(wǎng)絡(luò)安全創(chuàng)新
演講伊始,邵國(guó)安就指出:現(xiàn)在很多層面對(duì)于網(wǎng)絡(luò)安全的本質(zhì)和核心的理解是比較模糊的。理念決定行動(dòng),但是若理念都錯(cuò)了,談何正確的行動(dòng)?
他講道,網(wǎng)絡(luò)安全要從以下五個(gè)方面來(lái)加以考慮:一是網(wǎng)絡(luò)邊界的安全,二是網(wǎng)絡(luò)防護(hù),三是終端安全,四是應(yīng)用安全,五是數(shù)據(jù)安全,每個(gè)層面都有不同的安全要求,是一個(gè)扇型的安全保障體系。
交通運(yùn)輸網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與策略
李璐瑤認(rèn)為,不管是從事信息化還是從事信息安全的,都必須先了解它的業(yè)態(tài),才能來(lái)進(jìn)行風(fēng)險(xiǎn)權(quán)重的評(píng)價(jià)。交通行業(yè),很好地體現(xiàn)了大數(shù)據(jù)的強(qiáng)大特征:廣泛性、海量性、有價(jià)性。也正因此,交通領(lǐng)域成為了可能遭到重點(diǎn)攻擊的目標(biāo),一定要采取有效措施,加強(qiáng)安全防護(hù)。
此外,她也認(rèn)為就各級(jí)政府而言,要集中對(duì)政府網(wǎng)站、政務(wù)郵箱、重要業(yè)務(wù)、公務(wù)終端、互聯(lián)網(wǎng)出口這五類系統(tǒng)進(jìn)行安全防護(hù)。
提升風(fēng)險(xiǎn)自主發(fā)現(xiàn)處置能力的探索實(shí)踐
關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)管理
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)35-2453-02
Campus Network Security System Construction
CHEN Yan
(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)
Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.
Key words: campus network; network security; network management
1 引言
校園網(wǎng)絡(luò)作為信息化校園的重要組成部分,在全國(guó)各高校大規(guī)模展開(kāi),已近十年的歷程。校園網(wǎng)的建設(shè)重點(diǎn)已從最初單純的網(wǎng)絡(luò)硬件鋪設(shè),簡(jiǎn)單的Internet接入,小規(guī)模離散的應(yīng)用,發(fā)展到大規(guī)模成系統(tǒng)的網(wǎng)絡(luò)應(yīng)用。近年隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)應(yīng)用日益普及,學(xué)校的教學(xué)和管理對(duì)校園網(wǎng)的依賴程度不斷加大。網(wǎng)絡(luò)的脆弱性,使得依賴于網(wǎng)絡(luò)的教學(xué)與管理面臨著安全威脅,網(wǎng)絡(luò)安全成了校園網(wǎng)建設(shè)的焦點(diǎn)問(wèn)題。構(gòu)建安全的校園網(wǎng)并不是簡(jiǎn)單的堆砌網(wǎng)絡(luò)安全技術(shù)或安全產(chǎn)品,它不僅涉及到技術(shù)層面,也涉及到非技術(shù)層面。本文似從技術(shù)和管理兩個(gè)層面來(lái)探討如何構(gòu)建安全的校園網(wǎng)絡(luò)系統(tǒng)。
2 校園網(wǎng)的特點(diǎn)及安全現(xiàn)狀分析
校園網(wǎng)有著自己鮮明的特點(diǎn):一是大規(guī)模、高速網(wǎng)絡(luò)環(huán)境,主要表現(xiàn)為用戶數(shù)據(jù)龐大、地域分布的多校區(qū)網(wǎng)絡(luò)和快速局域網(wǎng)技術(shù);二是復(fù)雜的應(yīng)用和業(yè)務(wù)類型,主要表現(xiàn)為公共服務(wù)、科研應(yīng)用、教學(xué)輔助、學(xué)生管理、行政管理、教學(xué)管理和普通上網(wǎng)應(yīng)用等;三是活躍的、不同使用水平的網(wǎng)絡(luò)用戶群體,即有普通的用戶群、又有管理用戶群,還有網(wǎng)絡(luò)相關(guān)專業(yè)的學(xué)生用戶群,他們網(wǎng)絡(luò)應(yīng)用目的不同,對(duì)網(wǎng)絡(luò)的熟悉程度不同;三是大量的非正版軟件和電子資源;五是開(kāi)放的環(huán)境和寬松的安全管理體制;六有限的資金投入。這些特點(diǎn)使得校園網(wǎng)既不像Internet那樣毫無(wú)限制,又不像電子商務(wù)企業(yè)那樣為強(qiáng)化安全與保密而嚴(yán)加管理和控制。
校園網(wǎng)的上述特點(diǎn),使得校園網(wǎng)一方面要面臨一般企業(yè)網(wǎng)絡(luò)所必須面對(duì)的各種安全威脅,如:普遍存在的計(jì)算機(jī)系統(tǒng)漏洞產(chǎn)生的各種安全隱患;計(jì)算機(jī)蠕蟲(chóng)、木馬、病毒泛濫,對(duì)用戶主機(jī)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)運(yùn)行構(gòu)成的嚴(yán)重威脅;外來(lái)的攻擊、入侵等惡意行為、垃圾信息和不良信息的傳播行為等。另一方面校園網(wǎng)又不得不應(yīng)付來(lái)自內(nèi)部的安全威脅,如內(nèi)部用戶的攻擊行為,對(duì)網(wǎng)絡(luò)資源的濫用行為等等。
3 校園網(wǎng)安全需求分析
在校園網(wǎng)的安全設(shè)計(jì)中,必須考慮到校園網(wǎng)的上述特殊性。不能將整個(gè)校園網(wǎng)作為單一的安全區(qū)域,必須根據(jù)不同的應(yīng)用類型、不同的服務(wù)對(duì)象將校園網(wǎng)劃分為具有不同安全等級(jí)的區(qū)域,并針對(duì)這些區(qū)域進(jìn)行專門的安全設(shè)計(jì)。一般來(lái)說(shuō),我們可以將校園網(wǎng)分為:學(xué)生網(wǎng)絡(luò)、教學(xué)管理網(wǎng)絡(luò)、公共應(yīng)用服務(wù)網(wǎng)絡(luò)、網(wǎng)絡(luò)管理系統(tǒng)和分校區(qū)網(wǎng)絡(luò)等幾個(gè)部分。下面對(duì)這些網(wǎng)絡(luò)的安全需求進(jìn)行分析。
3.1 Internet連通性的安全需求
Internet連通性是校園網(wǎng)最重要的功能,一方面要滿足內(nèi)部用戶的Internet訪問(wèn)要求,另一方面又要對(duì)外Web服務(wù)、電子郵件服務(wù)和FTP服務(wù)等公共服務(wù)。而Internet卻是攻擊和威脅的重要來(lái)源,阻斷所有不能接受的訪問(wèn)流量是最基本的安全需求,同時(shí)保持對(duì)來(lái)自Internet的網(wǎng)絡(luò)攻擊的檢測(cè)能力,是防范求知攻擊的必然要求。與內(nèi)部用戶的上網(wǎng)需求相比,校網(wǎng)園對(duì)外的公共服務(wù)應(yīng)該受到更好的安全保護(hù),在設(shè)計(jì)時(shí)必須給予重點(diǎn)考慮。
3.2 學(xué)生網(wǎng)絡(luò)的安全需求
學(xué)生網(wǎng)絡(luò)兩大特點(diǎn):一是用戶數(shù)量多數(shù)據(jù)流量大,學(xué)生是P2P(peer-to-peer)應(yīng)用的熱衷者,而P2P應(yīng)用則是網(wǎng)絡(luò)帶寬的“殺手”,2006年我院對(duì)擁有1100多用戶的學(xué)生網(wǎng)絡(luò)進(jìn)行了一項(xiàng)測(cè)試,使用一款“P2P終結(jié)者”軟件來(lái)屏蔽P2P數(shù)據(jù)包,結(jié)果網(wǎng)絡(luò)出口總流量驟降一半,據(jù)此可以估算有50%網(wǎng)絡(luò)帶寬被P2P軟件所消耗。事實(shí)上這個(gè)估算是保守的,有研究表明,P2P流量取代了HTTP流量成為Internet流量的主體,占Internet中總流量的60%~70%,占最后一公里接入網(wǎng)流量的80%[1];二是用戶類型復(fù)雜,2007年我院的一次問(wèn)卷調(diào)查表明,85%以上的學(xué)生缺乏網(wǎng)絡(luò)安全意識(shí),近5%的學(xué)生用戶偶爾嘗試過(guò)網(wǎng)絡(luò)攻擊,近0.2%的學(xué)生在研究網(wǎng)絡(luò)攻擊技術(shù),他們是內(nèi)部攻擊的主要來(lái)源,也是最主要的病毒源和木馬源。因此在進(jìn)行網(wǎng)絡(luò)安全考慮時(shí),首先要對(duì)來(lái)自學(xué)生網(wǎng)絡(luò)的帶寬進(jìn)行限制,以保證網(wǎng)絡(luò)資源的合理分配;其次要約束學(xué)生網(wǎng)絡(luò)對(duì)校園網(wǎng)關(guān)鍵服務(wù)的訪問(wèn),盡最大努力過(guò)濾其運(yùn)行特定應(yīng)用程序的能力;同時(shí)還需要加強(qiáng)對(duì)網(wǎng)絡(luò)流量嗅探和中間人攻擊(MITM)的防范能力,以減少學(xué)生相互間的攻擊。
3.3 教學(xué)管理網(wǎng)絡(luò)的安全需求
鑒于教學(xué)管理數(shù)據(jù)的安全性需求高,教學(xué)管理網(wǎng)絡(luò)與學(xué)生網(wǎng)絡(luò)絕對(duì)不能位于同一個(gè)信任級(jí)別,應(yīng)該有更高的安全需求,給予保護(hù)并與校園網(wǎng)絡(luò)的其他部分進(jìn)行隔離。主要有以下三項(xiàng)安全措施,一是設(shè)置防火墻實(shí)施訪問(wèn)控制;二是設(shè)置入侵檢測(cè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè);三是強(qiáng)化論證,雖然加密所有教學(xué)管理應(yīng)用程序太過(guò)繁重,但是對(duì)于某些關(guān)鍵系統(tǒng)(會(huì)計(jì)和學(xué)生記錄)應(yīng)該要求強(qiáng)認(rèn)證。
3.4 網(wǎng)絡(luò)管理系統(tǒng)的安全需求
網(wǎng)絡(luò)管理系統(tǒng)負(fù)責(zé)整個(gè)校園網(wǎng)的通暢和安全管理工作,確保網(wǎng)絡(luò)管理系統(tǒng)的安全是非常重要的工作,因此應(yīng)該設(shè)置防火墻將管理網(wǎng)絡(luò)與校園網(wǎng)的其它部分進(jìn)行隔離加以保護(hù)。
3.5 分校區(qū)網(wǎng)絡(luò)連接的安全需求
分校區(qū)和遠(yuǎn)程用戶都需要直接訪問(wèn)校園網(wǎng)內(nèi)部的服務(wù),出于資金考慮,多數(shù)的分校網(wǎng)絡(luò)都沒(méi)有專線連通,部分學(xué)校嘗試無(wú)線通信,實(shí)際情況看來(lái),其保密性和穩(wěn)定性都不高。比較經(jīng)濟(jì)實(shí)用的解決方案就是,使用虛擬專用網(wǎng)(VPN)技術(shù)穿過(guò)廣域網(wǎng)(WAN)。
4 校園網(wǎng)結(jié)構(gòu)的安全設(shè)計(jì)
基于上述校園網(wǎng)安全的分析,我們可以設(shè)計(jì)出如圖1所示的安全校園網(wǎng)絡(luò)系統(tǒng)。
4.1 校園網(wǎng)邊界安全設(shè)計(jì)
Internet接入是校園網(wǎng)最基本的業(yè)務(wù)需求,與Internet相比,校園網(wǎng)內(nèi)部自然是一塊相對(duì)單純的可信任安全區(qū)域,為保證校園網(wǎng)內(nèi)部的安全性和校園網(wǎng)公共服務(wù)的可訪問(wèn)性,需在校園網(wǎng)邊界進(jìn)行如下安全設(shè)置。
一是設(shè)置防火墻:防火墻首先要提供入網(wǎng)級(jí)的訪問(wèn)控制功能,以有效地阻斷來(lái)自Internet的非法訪問(wèn);其次要提供虛擬專用網(wǎng)(VPN)功能,借助廣域網(wǎng)實(shí)現(xiàn)遠(yuǎn)程分校區(qū)網(wǎng)絡(luò)的安全連接,使得訪問(wèn)遠(yuǎn)程校園網(wǎng)絡(luò),如同訪問(wèn)本地網(wǎng)絡(luò)一個(gè)方便安全,在保證安全性的同時(shí)還可以節(jié)省出專線費(fèi)用;最后還應(yīng)具備網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT),使得Internet用戶可以訪問(wèn)校園網(wǎng)內(nèi)部的公共服務(wù)。二是設(shè)置AAA認(rèn)證服務(wù)器,提供對(duì)用戶身份認(rèn)證、安全管理、安全責(zé)任跟蹤和計(jì)費(fèi)等功能。三是設(shè)置網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS),同時(shí)可在邊界路由器上啟用NetFlow功能,以加強(qiáng)對(duì)非法入侵和惡意攻擊行為的檢測(cè)和發(fā)現(xiàn)能力,為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)異常事件的處理能力。
4.2 學(xué)生網(wǎng)絡(luò)的安全設(shè)計(jì)
從前面的校園網(wǎng)業(yè)務(wù)需求的安全性分析可知,校園網(wǎng)內(nèi)部并非鐵板一塊,不同的業(yè)務(wù)需求對(duì)安全性的要求是不同的,相對(duì)來(lái)說(shuō)學(xué)生網(wǎng)絡(luò)的安全級(jí)別最低。針對(duì)學(xué)生網(wǎng)絡(luò)用戶數(shù)量龐大、用戶類型的復(fù)雜性的特點(diǎn),主要可采取以下安全措施:一是為保證網(wǎng)絡(luò)資源的合理有效分配,必須進(jìn)行網(wǎng)絡(luò)流量限制;二是在交換機(jī)處提供必要的第二層安全控制,以減少網(wǎng)絡(luò)流量嗅探攻擊,中間人攻擊(Man-in-the-middle-attacks,簡(jiǎn)稱:MITM攻擊);三是在不同學(xué)生網(wǎng)段的路由器上設(shè)置無(wú)狀態(tài)ACL,以實(shí)現(xiàn)數(shù)據(jù)過(guò)濾。后兩項(xiàng)措施可以緩解學(xué)生系統(tǒng)之間的相互攻擊??傮w上講,學(xué)生網(wǎng)絡(luò)的安全防護(hù)功能是相當(dāng)弱的,主要的安全防護(hù)功能落在了學(xué)生主機(jī)上,因此必須加強(qiáng)網(wǎng)絡(luò)安全教育,提高學(xué)生的安全防范意識(shí)和能力。但是較低的安全防護(hù)設(shè)計(jì)卻給學(xué)生創(chuàng)造了一個(gè)相當(dāng)寬松的網(wǎng)絡(luò)環(huán)境。
4.3 教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的安全設(shè)計(jì)
教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的服務(wù)器中存在著大量敏感的數(shù)據(jù),比如說(shuō)學(xué)生成績(jī)和學(xué)生注冊(cè)信息,它們極易受到來(lái)自于Internet及學(xué)生網(wǎng)絡(luò)的攻擊,因此也就提出了更高的安全需求。對(duì)教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的安全設(shè)計(jì),相當(dāng)于在校網(wǎng)絡(luò)的基礎(chǔ)上建立起一個(gè)安全性更高的內(nèi)部網(wǎng)絡(luò)。其安全設(shè)置類似于校園網(wǎng)與Internet之間的安全設(shè)計(jì),如添加防火墻進(jìn)行訪問(wèn)控制,增加NIDS進(jìn)行入侵檢測(cè)。從圖中可以看到,對(duì)學(xué)生網(wǎng)絡(luò)來(lái)說(shuō),它有一道防護(hù)屏障,而相對(duì)于Internet再說(shuō),它受到兩道防護(hù)屏障的保護(hù)。這是一個(gè)合理的安全等級(jí)層次。
4.4 管理網(wǎng)絡(luò)的安全設(shè)計(jì)
管理網(wǎng)絡(luò)看似類似于行政網(wǎng)管,需要使用防火墻進(jìn)行保護(hù)。但是它有完全不同的業(yè)務(wù)需求,它負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的安全管理,要根據(jù)各種校園網(wǎng)絡(luò)設(shè)備的管理需求,設(shè)置允許入站和出站的特定連接。因?yàn)樗闹車性S多不可信的網(wǎng)絡(luò),在網(wǎng)絡(luò)設(shè)備與管理網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳送時(shí),必須保證數(shù)據(jù)的安全保密性,因此數(shù)據(jù)傳遞過(guò)程中的安全要求較高,在數(shù)據(jù)通信需要使用SSH/SSL等安全通信協(xié)議。對(duì)于那些不支持SSH/SSL的網(wǎng)絡(luò)設(shè)置,只能使用如Telnet之類的明文管理協(xié)議,在這種缺乏安全協(xié)議的情況下,應(yīng)該限制可訪問(wèn)Telnet后臺(tái)程序的IP地址,以增加這些網(wǎng)絡(luò)設(shè)備管理的安全性。
5 校園網(wǎng)安全管理
校園網(wǎng)的安全性不僅僅是一個(gè)技術(shù)問(wèn)題,還需要安全管理的支持。安全的校園網(wǎng)絡(luò)系統(tǒng)是安全技術(shù)與安全管理有機(jī)結(jié)合的整體,它遵循所謂的“木桶原理”。正如木桶的容積決定于它最短的木板一樣,校園網(wǎng)系統(tǒng)的安全強(qiáng)度等于它最薄弱環(huán)節(jié)的安全強(qiáng)度。經(jīng)驗(yàn)表明,得不到足夠重視的網(wǎng)絡(luò)安全管理恰恰是校園網(wǎng)安全系統(tǒng)中最薄弱的一個(gè)環(huán)節(jié)。安全專家們則強(qiáng)調(diào)網(wǎng)絡(luò)安全靠的是“三分技術(shù),七分管理”。
為加強(qiáng)校園網(wǎng)的管理,需要做好以下四項(xiàng)工作:一是觀念的更新,網(wǎng)絡(luò)安全不止是技術(shù)部門和專業(yè)人員的責(zé)任,應(yīng)該得到學(xué)校高層的充分重視,需要所有的網(wǎng)絡(luò)用戶的共同遵循安全規(guī)則;二是建立網(wǎng)絡(luò)安全管理機(jī)構(gòu),明確權(quán)力和負(fù)責(zé),從組織機(jī)構(gòu)上保障網(wǎng)絡(luò)安全管理的有效實(shí)施;三是制訂網(wǎng)絡(luò)安全管理制度,明確校園網(wǎng)用戶的權(quán)利和義務(wù),使用戶共同遵循校園網(wǎng)使用規(guī)則;四是建立完善的安全管理及應(yīng)急響應(yīng)機(jī)制,以對(duì)突發(fā)性安全事件做出迅速準(zhǔn)確的處理,最大限度地減少損失。
安全事件處理機(jī)制的建立往往是校園網(wǎng)安全管理的盲區(qū)。與國(guó)防、金融等機(jī)構(gòu)比起來(lái)校園網(wǎng)的安全級(jí)別低,應(yīng)付安全突發(fā)事件的重要性并不是太突出。而且在一般情況下,意外事件發(fā)生的幾率不高,應(yīng)付安全突發(fā)事件的必要性也往往被忽視。但是100%安全的網(wǎng)絡(luò)是不存在的,如果不能對(duì)網(wǎng)絡(luò)安全事件做出迅速而準(zhǔn)確的響應(yīng),就有可能造成重大的損失。事實(shí)是,歷史上幾次重大的安全突發(fā)事件所造成的惡劣影響,使得各國(guó)都非常重視緊急事件響應(yīng)處理。美國(guó)國(guó)防部于1989年資助卡內(nèi)基.梅隆大學(xué)建立了世界上第一個(gè)計(jì)算機(jī)緊急響應(yīng)小組CERT(Computer Emergency Response Team)及其協(xié)調(diào)中心CC(Coordination Center)。CERT/CC的成立標(biāo)志著信息安全由傳統(tǒng)的靜態(tài)保護(hù)手段開(kāi)始轉(zhuǎn)變?yōu)橥晟频膭?dòng)態(tài)防護(hù)機(jī)制。此后在20世紀(jì)90年代,計(jì)算機(jī)安全應(yīng)急處理得到了廣泛而深入的研究。在我國(guó),中國(guó)計(jì)算機(jī)教育與科研網(wǎng)(CERNET)于1999年成立計(jì)算機(jī)緊急事件響應(yīng)組織(CCERT),是國(guó)內(nèi)第一個(gè)安全事件響應(yīng)組織;2000年3月,中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心(CNCERT/CC)成立,該中心在國(guó)家因特網(wǎng)應(yīng)急小組協(xié)調(diào)辦公室的直接領(lǐng)導(dǎo)下,協(xié)調(diào)全國(guó)范圍內(nèi)計(jì)算機(jī)安全事件響應(yīng)小組的工作,并加強(qiáng)與國(guó)際計(jì)算機(jī)安全組織的交流。
在校園網(wǎng)建設(shè)中,借助CERT的理念和研究成果,建立必要的網(wǎng)絡(luò)管理和應(yīng)急響應(yīng)機(jī)制將有利于規(guī)范和提高校園網(wǎng)安全管理能力。圖2所示,是一個(gè)可行的網(wǎng)絡(luò)管理和應(yīng)急響應(yīng)機(jī)制構(gòu)建方案,說(shuō)明如下。
1) 網(wǎng)絡(luò)安全的日常管理:在校園網(wǎng)的關(guān)鍵部分加強(qiáng)網(wǎng)絡(luò)安全的日常管理,使日志檢查、漏洞掃描、系統(tǒng)升級(jí)、病毒防御等工作制度化、常規(guī)化,盡量減少因管理員疏忽等主觀因素而引起的安全事件。建立責(zé)任追究制度,強(qiáng)化網(wǎng)絡(luò)管理人員的責(zé)任心。
2) 網(wǎng)絡(luò)安全應(yīng)急小組:接收并處理來(lái)自用戶的安全突發(fā)事件,NetFowl等流量分析的異常報(bào)告、入侵檢測(cè)系統(tǒng)的入侵警告和日常管理中的安全事件報(bào)告。通過(guò)分析調(diào)查,決定采取相應(yīng)的應(yīng)急處理措施,如系統(tǒng)隔離、事件跟蹤、漏洞修補(bǔ)、安全策略調(diào)整、系統(tǒng)恢復(fù)和統(tǒng)計(jì)報(bào)告等等。同時(shí)為廣大用戶提供各種安全服務(wù),如安全咨詢、安全教育和安全工具等等。
6 小結(jié)
網(wǎng)絡(luò)安全是當(dāng)前校園網(wǎng)建設(shè)和應(yīng)用的焦點(diǎn)問(wèn)題,本文從技術(shù)和管理層面深入地討論了安全校園網(wǎng)系統(tǒng)的建設(shè)問(wèn)題。在技術(shù)層面上,需要根據(jù)校園網(wǎng)應(yīng)用的不同,劃分不同的安全等級(jí)區(qū)域,并針對(duì)各個(gè)區(qū)域的應(yīng)用需求進(jìn)行安全設(shè)計(jì);在管理層面上,特別強(qiáng)調(diào)建立網(wǎng)絡(luò)安全管理及應(yīng)急響應(yīng)機(jī)制,保障網(wǎng)絡(luò)管理的規(guī)范化、制度化,提高網(wǎng)絡(luò)安全管理能力。
參考文獻(xiàn):
[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.
[2] Convery S.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].江魁,譯.北京:人民郵電出版社,2005.
[3] 連一峰,戴英俠.計(jì)算機(jī)應(yīng)急響應(yīng)系統(tǒng)體系研究[J].中國(guó)科學(xué)院研究生院學(xué)報(bào),2004,21(2):202-209.
信息,同企業(yè)其他資產(chǎn)一樣是種資產(chǎn),對(duì)企業(yè)的發(fā)展有很大作用。信息以各種形式存在,包括紙質(zhì)的、電子的、圖像的等。我國(guó)信息專家鐘義信認(rèn)為:“信息是該事物運(yùn)動(dòng)的狀態(tài)和狀態(tài)變化方式的自我表述/自我顯示?!鳖櫭剂x,信息安全既保障“信息”的“安全”。關(guān)于信息安全,國(guó)際標(biāo)準(zhǔn)化組織(ISO)認(rèn)為:“信息安全是在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。我國(guó)信息安全專家沈昌祥院士則認(rèn)為:“信息安全是保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問(wèn)、使用、泄露、中斷、修改和破壞,為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性”。
二、企業(yè)信息安全體系設(shè)計(jì)
2.1企業(yè)信息安全體系方案概述
2.1.1信息安全體系設(shè)計(jì)原則
企業(yè)信息安全體系的設(shè)計(jì)應(yīng)遵從以下原則:
(1)性能平衡,合理劃分:提高整個(gè)系統(tǒng)的“安全低點(diǎn)”的性能,保證各層面能得到均衡防護(hù);按照合理原則劃分為安全等級(jí),分區(qū)域、分等級(jí)防護(hù)。
(2)標(biāo)準(zhǔn)一致,功能互補(bǔ):在產(chǎn)品技術(shù)、產(chǎn)品設(shè)備選擇方面,盡可能遵循同一業(yè)界標(biāo)準(zhǔn);充分考慮不同廠商、不同安全產(chǎn)品的功能互補(bǔ),在進(jìn)行多層防護(hù)時(shí),考慮使用不同廠家的。
(3)統(tǒng)籌規(guī)劃,分步實(shí)施。
2.1.2信息安全體系框架
網(wǎng)絡(luò)安全的實(shí)現(xiàn)不是目標(biāo),是過(guò)程。其過(guò)程經(jīng)歷了安全評(píng)估、制訂安全策略、安全培訓(xùn)、安全技術(shù)實(shí)施、安全網(wǎng)絡(luò)檢測(cè)、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等環(huán)節(jié),并不斷地螺旋式提高發(fā)展,得以實(shí)現(xiàn)網(wǎng)絡(luò)安全。信息安全體系的三要素:管理、技術(shù)和運(yùn)維。通過(guò)一系列的戰(zhàn)略、系統(tǒng)和機(jī)制的協(xié)調(diào),明確技術(shù)實(shí)現(xiàn)方法與相關(guān)安全操作人員的職責(zé),從而達(dá)到安全風(fēng)險(xiǎn)的發(fā)現(xiàn)和有效控制,從而改善的安全問(wèn)題反應(yīng)速度和恢復(fù)能力,增強(qiáng)整體網(wǎng)絡(luò)安全能力。管理方面,建立、健全安全組織結(jié)構(gòu);技術(shù)方面,建立分層網(wǎng)絡(luò)安全策略;運(yùn)維方面,通過(guò)不同的安全機(jī)制,提高網(wǎng)絡(luò)安全的能力。
2.2企業(yè)信息安全技術(shù)體系
2.2.1信息安全技術(shù)體系概述
(l)設(shè)計(jì)原則
分析企業(yè)信息網(wǎng)絡(luò)安全面臨的主要威脅,實(shí)施有針對(duì)性的安全技術(shù)體系。安全技術(shù)體系的總體性要求如下:全面綜合:采用綜合解決方案,體系層次化,具有縱深性。集成統(tǒng)一:有效集成各類管理工具,集中化管理所有IT系統(tǒng)。開(kāi)放適應(yīng):支持各種安全管理標(biāo)準(zhǔn),能適應(yīng)組織和環(huán)境的變化。
(2)信息安全技術(shù)體系框架
通過(guò)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全等方面進(jìn)行建設(shè)。具體有以下措施:物理安全防護(hù)建設(shè);統(tǒng)一容災(zāi)備份中心建設(shè);防火墻系統(tǒng)的部署;入侵防護(hù)系統(tǒng)的部署;系統(tǒng)安全防護(hù)建設(shè);防病毒系統(tǒng)部署;漏洞掃描系統(tǒng)部署;信息審計(jì)系統(tǒng)防護(hù)。
2.2.2物理安全防護(hù)建設(shè)
(1)配套設(shè)備安全
采用多路供電(市電、動(dòng)力電、UPS)的方法,多路電源同時(shí)接入企業(yè)信息系統(tǒng)大樓或主機(jī)房及重要信息存儲(chǔ)、收發(fā)等重要部門,當(dāng)市電故障后自動(dòng)切換至動(dòng)力電,動(dòng)力電故障后自動(dòng)至UPS供電。并且,當(dāng)下級(jí)電源恢復(fù)后,應(yīng)立即自動(dòng)切換回去。這樣,既保證了安全性,又降低了運(yùn)行費(fèi)用。形成一套完整的先進(jìn)和完善的供電系統(tǒng)及緊急報(bào)警系統(tǒng)。供電系統(tǒng)中,會(huì)有尖峰、浪涌等不良現(xiàn)象發(fā)生,一旦發(fā)生,輕則斷電重啟,重則燒毀并引發(fā)火災(zāi)。這種情況下,UPS也無(wú)濟(jì)于事。為避免對(duì)供電質(zhì)量和造成不安全因素,可以使用電力凈化系統(tǒng)。電源凈化系統(tǒng)不僅保證電源質(zhì)量,同時(shí)還可減少電磁污染,避免信息隨電纜外泄。用多路供電接入企業(yè)機(jī)房及重要部門,降低了運(yùn)行成本,又保證了系統(tǒng)的安全。
(2)計(jì)算機(jī)場(chǎng)地安全
嚴(yán)格按照國(guó)家標(biāo)準(zhǔn)建設(shè),如國(guó)標(biāo)GB/T2887-2000《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》、GB9254-1998《信息技術(shù)設(shè)備的無(wú)線電騷擾限值和測(cè)量方法》等?!峨娮佑?jì)算機(jī)場(chǎng)地通用規(guī)范》規(guī)定了站址選擇條件:計(jì)算機(jī)場(chǎng)地盡量建在電力、水源充足,自然環(huán)境清潔、通信、交通運(yùn)輸方便的地方;應(yīng)盡量避開(kāi)強(qiáng)電磁場(chǎng)的干擾;應(yīng)盡量遠(yuǎn)離強(qiáng)振動(dòng)源和強(qiáng)噪聲源;應(yīng)盡量建在建筑物的高層及地下室以及用水設(shè)備的下層。規(guī)定了溫度、濕度條件并將它分成ABC三級(jí);規(guī)定了照明、日志、電磁場(chǎng)干擾具體技術(shù)條件;規(guī)定了接地、供電、建筑結(jié)構(gòu)條件等。
2.2.3統(tǒng)一容災(zāi)備份中心建設(shè)
無(wú)論企業(yè)信息系統(tǒng)設(shè)計(jì)、維護(hù)得多科學(xué)合理,故障的發(fā)生都是不可避免的,因此在設(shè)計(jì)時(shí)都應(yīng)考慮容災(zāi)解決方案,即統(tǒng)一容災(zāi)備份中心建設(shè)?;舅悸肥恰皵?shù)據(jù)冗余+異地分布”,即在異地建立和維護(hù)一份或多份數(shù)據(jù)冗余,利用數(shù)據(jù)的冗余性和地理分散性來(lái)提高對(duì)災(zāi)難事件的抵御能力。企業(yè)數(shù)據(jù)容災(zāi),存儲(chǔ)是基礎(chǔ),備份是核心,恢復(fù)是關(guān)鍵。信息網(wǎng)絡(luò)采用本地備份與異地備份的混合方式,以確保數(shù)據(jù)或系統(tǒng)的安全。通過(guò)各種層面的冗余技術(shù),減少單點(diǎn)故障;使用合適的備份技術(shù)實(shí)現(xiàn)針對(duì)各個(gè)位置存放的數(shù)據(jù)的保護(hù)、隔離和嚴(yán)格訪問(wèn),保證數(shù)據(jù)的一致性、安全性和完整性。包括:存儲(chǔ)磁盤的冗余設(shè)計(jì),對(duì)系統(tǒng)盤采用RAID1技術(shù),對(duì)數(shù)據(jù)盤采用RAID5技術(shù)。數(shù)據(jù)的冗余備份設(shè)計(jì):數(shù)據(jù)庫(kù)數(shù)據(jù)文件的存放采用基于SAN架構(gòu)的存儲(chǔ)方案,在保證讀取速度的同時(shí),利用遠(yuǎn)程數(shù)據(jù)鏡像和數(shù)據(jù)復(fù)制技術(shù)進(jìn)行冗余備份,在區(qū)域性空難發(fā)生時(shí)能更大限度保證數(shù)據(jù)完整和安全。對(duì)核心業(yè)務(wù)的數(shù)據(jù)庫(kù)數(shù)據(jù),還可利用SQLServer自帶的數(shù)據(jù)備份工具進(jìn)行數(shù)據(jù)庫(kù)文件備份,有效應(yīng)對(duì)文件損壞或人為誤操作帶來(lái)的數(shù)據(jù)風(fēng)險(xiǎn)。對(duì)正常業(yè)務(wù)中關(guān)鍵數(shù)據(jù)或全業(yè)務(wù)數(shù)據(jù)進(jìn)行保護(hù),將主數(shù)據(jù)庫(kù)的數(shù)據(jù)以邏輯的方式在異地機(jī)房建設(shè)一個(gè)同樣的數(shù)據(jù)庫(kù),并且實(shí)時(shí)更新數(shù)據(jù),當(dāng)主數(shù)據(jù)庫(kù)因?yàn)?zāi)損壞或失去,異地?cái)?shù)據(jù)庫(kù)可以及時(shí)接管業(yè)務(wù),從而達(dá)到容災(zāi)的目的。
三、結(jié)論及展望
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)